I criminali informatici stanno prendendo di mira i server vulnerabili di Microsoft Exchange per estrarre criptovaluta in segreto attraverso la potenza di elaborazione dei sistemi compromessi per fare soldi. Gli aggressori informatici si sono affrettati a sfruttare i server Exchange dopo aver scoperto una vulnerabilità zero-day, ma non sono gli unici.
I ricercatori di Cybersecurity di Sophos hanno identificato gli aggressori che tentano di sfruttare l’exploit di Microsoft Exchange per estrarre segretamente dai server criptovaluta Monero attraverso un cryptominer. Monero non è prezioso quanto i Bitcoin, ma è più facile da estrarre e, soprattutto per i criminali informatici, fornisce un maggiore anonimato, rendendo più difficile rintracciare coloro che stanno dietro agli attacchi. Ma potremmo fare anche altri esempi, come BitIQ.
Un server compromesso da un cryptominer potrebbe non sembrare rischioso come un attacco ransomware o la perdita di dati sensibili, ma rappresenta comunque una preoccupazione per le organizzazioni. Questo perché gli aggressori informatici sono in grado di ottenere segretamente l’accesso alla rete, soprattutto, nelle organizzazioni dove non sono stati applicati gli aggiornamenti critici progettati per proteggere da tutti i tipi di attacchi.
Come funziona il malware dietro l’estrazione di criptovaluta
Secondo l’analisi di Sophos, il portafoglio Monero dell’attaccante dietro questa campagna ha iniziato a ricevere fondi dal 9 marzo, solo pochi giorni dopo che le vulnerabilità di Exchange sono venute alla luce, suggerendo che l’attaccante è stato veloce nello sfruttare i server privi di protezione. Gli attacchi iniziano con un comando PowerShell che recupera un file dal percorso di accesso di Outlook Web Access di un server precedentemente compromesso, che a sua volta scarica i payload eseguibili per installare l’estrattore Monero.
I ricercatori notano che l’eseguibile sembra contenere una versione modificata di uno strumento che è pubblicamente disponibile su GitHub; quando il contenuto viene eseguito su un server compromesso, l’evidenza dell’installazione viene eliminata, mentre il processo di mining viene eseguito in memoria. È improbabile che gli operatori dei server che sono stati dirottati dal malware di crypto mining notino che c’è un problema, a meno che l’attaccante non diventi avido e utilizzi una grande quantità di potenza di elaborazione che è facilmente identificata come insolita.
Per proteggere le reti dagli attacchi che sfruttano le vulnerabilità dei Microsoft Exchange Server, le organizzazioni sono invitate ad applicare gli aggiornamenti di sicurezza critici come una questione di priorità immediata.
