WickrMeランサムウェア

Microsoft SharePointサーバーを対象とした新しいランサムウェア操作が開始され、この特定のエントリポイントがプライベート企業ネットワークへの侵入とランサムウェアの展開に使用されたのは初めてのことです。同様のキャンペーンの以前のターゲットは、Microsoft Exchange電子メールサーバー、Citrixゲートウェイ、F5 BIG-IPロードバランサー、およびパルスセキュア、フォーティネット、パロアルトネットワークによってリリースされたVPN製品でした。

攻撃キャンペーンは、被害者がサイバー犯罪者に到達するために使用できる通信チャネルの一部としてWickr暗号化IMアカウントを使用しているため、セキュリティベンダーによってWickrMeランサムウェア（Hello）として追跡されています。 WickMeランサムウェアによって悪用される最初の侵害ベクトルは、MicrosoftのSharePointチームコラボレーションサーバーに影響を与える既知の脆弱性（CVE-2019-0604）です。このエクスプロイトにより、攻撃者はSharePointサーバーに対する制御を確立し、破損したWebシェルを配信できます。次のステップでは、CobaltStrikeビーコンをインストールしてバックドアを作成します。その後、ハッカーは自動化されたPowerShellスクリプトを実行して、最終的に最終的なペイロード（Hello Ransomwareの脅威）を侵害されたシステムにドロップして実行することができます。

企業はエクスプロイトについて警告されました

マイクロソフトは昨年、ランサムウェアの脅威を配信するためのゲートウェイとしてネットワークデバイスの脆弱性を標的とした、観察された攻撃キャンペーンの大幅な増加に対処するブログ投稿をリリースしました。この記事で言及されている特定の脆弱性の中には、CVE-2019-0604もありました。マイクロソフトは、ランサムウェアグループの標的になる可能性があると考えているエクスプロイトのコレクションにパッチを適用するよう企業に求めています。

同じSharePointサーバーのバグが、サイバー犯罪者、国が後援するスパイグループ、およびAPT（Advanced Persistent Threats）によって以前に開始されたキャンペーンで悪用されました。