Los piratas informáticos ahora están instalando ransomware utilizando el exploit de Hafnium Exchange Server
1 minuto. leer
Publicado el
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Los ataques originales al servidor de Hafnium probablemente estaban motivados por el espionaje, pero ahora ha comenzado la segunda ola predicha, claramente impulsada por la intención delictiva.
Microsoft ha confirmado que los piratas informáticos están atacando servidores Exchange sin parches e instalando el ransomware Dearcry en algunas ocasiones.
Microsoft observó una nueva familia de clientes de ataques de ransomware operados por humanos, detectados como Ransom:Win32/DoejoCrypt.A. Los ataques de ransomware operados por humanos están utilizando las vulnerabilidades de Microsoft Exchange para explotar a los clientes. #queridollorar @MsftSecIntel
—Phillip Misner (@phillip_misner) Marzo 12, 2021
El ransomware Dearcry luego intenta evitar que Windows Update se ejecute e instale una solución para la vulnerabilidad. El siguiente paso es cifrar sus archivos y luego entregar una nota de rescate en su escritorio.
Si bien Microsoft lanzó un parche hace más de 10 días, Palo Alto Networks señaló que 80,000 servidores más antiguos aún están sin parchear.
"Nunca había visto tasas de parches de seguridad tan altas para ningún sistema, y mucho menos uno tan ampliamente implementado como Microsoft Exchange", dijo Matt Kraning, director de tecnología de Cortex en Palo Alto Networks. “Aún así, instamos a las organizaciones que ejecutan todas las versiones de Exchange a asumir que se vieron comprometidas antes de parchear sus sistemas, porque sabemos que los atacantes estaban explotando estas vulnerabilidades de día cero en la naturaleza durante al menos dos meses antes de que Microsoft lanzara los parches el 2 de marzo. "
vía BleepingComputer