Les pirates installent maintenant Ransomware à l'aide de l'exploit Hafnium Exchange Server

Les hacks du serveur Hafnium d'origine étaient probablement motivés par l'espionnage, mais maintenant la deuxième vague prévue clairement motivée par une intention criminelle a commencé.

Microsoft a confirmé que des pirates informatiques attaquent des serveurs Exchange non corrigés et installent le ransomware Dearcry à certaines occasions.

Microsoft a observé une nouvelle famille de clients d'attaques de ransomwares opérés par des humains - détectés comme Ransom:Win32/DoejoCrypt.A. Les attaques de rançongiciels opérées par l'homme utilisent les vulnérabilités de Microsoft Exchange pour exploiter les clients. #CherCry @MsftSecIntel

– Philip Misner (@phillip_misner) 12 mars 2021

Le rançongiciel Dearcry tente alors d'empêcher Windows Update de s'exécuter et d'installer un correctif pour la vulnérabilité. L'étape suivante consiste à crypter vos fichiers, puis à envoyer une note de rançon sur votre bureau.

Alors que Microsoft a publié un correctif il y a plus de 10 jours, Palo Alto Networks a noté que 80,000 XNUMX serveurs plus anciens ne sont toujours pas corrigés.

«Je n'ai jamais vu de taux de correctifs de sécurité aussi élevés pour aucun système, et encore moins pour un système aussi largement déployé que Microsoft Exchange», a déclaré Matt Kraning, directeur de la technologie chez Cortex chez Palo Alto Networks. «Néanmoins, nous exhortons les organisations exécutant toutes les versions d'Exchange à supposer qu'elles ont été compromises avant de corriger leurs systèmes, car nous savons que les attaquants exploitaient ces vulnérabilités zero-day dans la nature pendant au moins deux mois avant que Microsoft ne publie les correctifs le 2 mars. "

via BleepingComputer