Hackerii folosesc ransomware pentru a ataca serverele Microsoft Exchange
Agențiile de informații și cercetătorii în securitate cibernetică au atenționat că serverele Exchange neactualizate ar putea permite infectarea cu ransomware în urma creșterii rapide a atacurilor de săptămâna trecută.
Potrivit celor mai recente rapoarte, atacatorii folosesc vulnerabilitățile serverului ProxyLogon Exchange pentru a instala o nouă variantă de ransomware numită „DearCry”.
„Microsoft a observat apariția unei noi familii de ransomware – Ransom: Win32 / DoejoCrypt.A”, a scris pe Twitter cercetătorul Microsoft, Phillip Misner. „Atacurile ransomware utilizează vulnerabilitățile Microsoft Exchange pentru a ataca serverele clienților.”
Firma de securitate Kryptos Logic a declarat că a identificat aproximativ 6.970 de web shell-uri expuse, dintre care unele au fost folosite pentru a infecta serverele compromise cu ransomware-ul DearCry, sugerând că alte grupări de hackeri se află în spatele backdoor-ului web din prima etapă folosit de Hafnium pentru a instala programe malware suplimentare.
Numind DearCry un ransomware „copie”, directorul Sophos, Mark Loman, a declarat că se creează copii criptate ale fișierelor utilizând o cheie de criptare încorporată în binarul ransomware și șterge versiunile originale, permițând astfel victimelor „să recupereze unele date” din cauza acestui comportament de criptare.
„Clienții ar trebui să ia măsuri urgente pentru a instala patch-urile Microsoft pentru a preveni exploatarea vulnerabilităților. Dacă acest lucru nu este posibil, serverul ar trebui să fie deconectat de la internet sau monitorizat îndeaproape de o echipă de răspuns la incidente”, a spus Loman.
Retragerea experimentului de pe GitHub
Între timp, pe măsură ce hackerii profită de defectele ProxyLogon, un experiment partajat pe GitHub pe contul Microsoft al unui cercetător de securitate a fost eliminat motivul fiind că exploit-ul este încă activ.
Măsura a stârnit, de asemenea controverse, cercetătorii susținând că Microsoft „reduce la tăcere cercetătorii în materie de securitate” prin eliminarea experimentelor distribuite pe GitHub.
„A fost un test, nu un exploit – niciunul dintre teste nu a avut RCE.”
Acest lucru a fost susținut și de cercetătorul Google Project Zero, Tavis Normandy.
Cercetătorul în domeniul securității, Marcus Hutchins, a spus că ”Există mai mult de 50.000 de servere neactualizate. Lansarea unui RCE complet pregătit nu este o cercetare de securitate, este o nebunie. „
Avalanșa de atacuri ar trebui să fie un avertisment pentru a actualiza toate versiunile Exchange Server cât mai curând posibil, în timp ce se iau măsuri pentru identificarea indicatorilor de compromitere, având în vedere că atacatorii exploatează vulnerabilități de tip zero-day cu cel puțin două luni înainte ca Microsoft să lanseze patch-urile.
Sursa: https://thehackernews.com
