Peretas sekarang menginstal Ransomware menggunakan exploit Hafnium Exchange Server

Peretasan server Hafnium asli kemungkinan besar dimotivasi oleh spionase, tetapi sekarang gelombang kedua yang diprediksi didorong dengan jelas oleh niat kriminal telah dimulai.

Microsoft telah mengonfirmasi bahwa peretas menyerang server Exchange yang belum ditambal dan menginstal ransomware Dearcry pada beberapa kesempatan.

Microsoft mengamati keluarga baru pelanggan serangan ransomware yang dioperasikan manusia – terdeteksi sebagai Ransom:Win32/DoejoCrypt.A. Serangan ransomware yang dioperasikan manusia memanfaatkan kerentanan Microsoft Exchange untuk mengeksploitasi pelanggan. #SayangMenangis @MsftSecIntel

— Phillip Misner (@phillip_misner) 12 Maret, 2021

Ransomware Dearcry kemudian mencoba untuk mencegah Pembaruan Windows berjalan dan menginstal perbaikan untuk kerentanan. Langkah selanjutnya adalah mengenkripsi file Anda dan kemudian mengirimkan catatan tebusan di desktop Anda.

Meskipun Microsoft telah merilis tambalan lebih dari 10 hari yang lalu, Palo Alto Networks mencatat bahwa 80,000 server lama masih belum ditambal.

“Saya belum pernah melihat tingkat patch keamanan setinggi ini untuk sistem apa pun, apalagi yang digunakan secara luas seperti Microsoft Exchange,” kata Matt Kraning, Chief Technology Officer, Cortex di Palo Alto Networks. “Namun, kami mendesak organisasi yang menjalankan semua versi Exchange untuk berasumsi bahwa mereka telah disusupi sebelum mereka menambal sistem mereka, karena kami tahu penyerang mengeksploitasi kerentanan zero-day ini di alam liar setidaknya selama dua bulan sebelum Microsoft merilis tambalan pada 2 Maret. ”

melalui BleepingComputer