Gli hacker stanno ora installando Ransomware utilizzando l'exploit di Hafnium Exchange Server

Gli hack originali del server Hafnium erano probabilmente motivati ​​dallo spionaggio, ma ora è iniziata la seconda ondata prevista guidata chiaramente da intenti criminali.

Microsoft ha confermato che gli hacker stanno attaccando i server Exchange senza patch e installando il ransomware Dearcry in alcune occasioni.

Microsoft ha osservato una nuova famiglia di clienti di attacchi ransomware operati da esseri umani, rilevati come Ransom:Win32/DoejoCrypt.A. Gli attacchi ransomware operati dall'uomo utilizzano le vulnerabilità di Microsoft Exchange per sfruttare i clienti. #Caro Piangere @MsftSecIntel

— Philip Misner (@phillip_misner) 12 Marzo 2021

Il ransomware Dearcry tenta quindi di impedire l'esecuzione di Windows Update e l'installazione di una correzione per la vulnerabilità. Il passaggio successivo consiste nel crittografare i file e quindi inviare una richiesta di riscatto sul desktop.

Sebbene Microsoft abbia rilasciato una patch più di 10 giorni fa, Palo Alto Networks ha notato che 80,000 server meno recenti sono ancora privi di patch.

"Non ho mai visto tassi di patch di sicurezza così elevati per nessun sistema, tanto meno per uno così ampiamente distribuito come Microsoft Exchange", ha affermato Matt Kraning, Chief Technology Officer, Cortex di Palo Alto Networks. "Tuttavia, esortiamo le organizzazioni che eseguono tutte le versioni di Exchange a presumere di essere state compromesse prima di applicare le patch ai loro sistemi, perché sappiamo che gli aggressori stavano sfruttando queste vulnerabilità zero-day in natura per almeno due mesi prima che Microsoft rilasciasse le patch il 2 marzo. "

via BleepingComputer