Οι χάκερ εγκαθιστούν τώρα το Ransomware χρησιμοποιώντας το Hafnium Exchange Server exploit

Οι αρχικές παραβιάσεις διακομιστών Hafnium ήταν πιθανότατα υποκινούμενες από κατασκοπεία, αλλά τώρα έχει ξεκινήσει το προβλεπόμενο δεύτερο κύμα που προέρχεται από εγκληματική πρόθεση.

Η Microsoft επιβεβαίωσε ότι οι εισβολείς επιτίθενται σε μη ενημερωμένους διακομιστές Exchange και εγκαθιστούν το Dearcry ransomware σε ορισμένες περιπτώσεις.

Η Microsoft παρατήρησε μια νέα οικογένεια πελατών ανθρώπινων επιθέσεων ransomware – που εντοπίστηκαν ως Ransom:Win32/DoejoCrypt.A. Οι ανθρώπινες επιθέσεις ransomware χρησιμοποιούν τα τρωτά σημεία του Microsoft Exchange για την εκμετάλλευση πελατών. #DearCry @MsftSecIntel

— Phillip Misner (@phillip_misner) Μαρτίου 12, 2021

Στη συνέχεια, το ransomware Dearcry προσπαθεί να αποτρέψει την εκτέλεση του Windows Update και να εγκαταστήσει μια ενημέρωση κώδικα για την ευπάθεια. Το επόμενο βήμα είναι η κρυπτογράφηση των αρχείων σας και, στη συνέχεια, η παράδοση μιας σημείωσης λύτρων στην επιφάνεια εργασίας σας.

Ενώ η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα πριν από περισσότερες από 10 ημέρες, η Palo Alto Networks σημείωσε ότι 80,000 παλαιότεροι διακομιστές εξακολουθούν να μην είναι ενημερωμένοι.

«Ποτέ δεν έχω δει τόσο υψηλά ποσοστά διόρθωσης ασφαλείας για οποιοδήποτε σύστημα, πολύ λιγότερο ένα τόσο ευρέως αναπτυσσόμενο όσο το Microsoft Exchange», δήλωσε ο Matt Kraning, Chief Technology Officer, Cortex στο Palo Alto Networks,. «Ωστόσο, καλούμε τους οργανισμούς που εκτελούν όλες τις εκδόσεις του Exchange να υποθέσουν ότι είχαν παραβιαστεί πριν επιδιορθώσουν τα συστήματά τους, επειδή γνωρίζουμε ότι οι επιτιθέμενοι εκμεταλλεύονταν αυτές τις ευπάθειες μηδενικής ημέρας για τουλάχιστον δύο μήνες πριν η Microsoft κυκλοφόρησε τις ενημερώσεις στις 2 Μαρτίου. "

μέσω BleepingComputer