Hakerzy instalują teraz oprogramowanie ransomware przy użyciu exploita Hafnium Exchange Server

Pierwotne hacki na serwerach Hafnium były prawdopodobnie motywowane szpiegostwem, ale teraz rozpoczęła się przewidywana druga fala, kierująca się wyraźnie przestępczymi zamiarami.

Firma Microsoft potwierdziła, że ​​hakerzy atakują niezatwierdzone serwery Exchange i czasami instalują ransomware Dearcry.

Microsoft zaobserwował nową rodzinę klientów atakujących oprogramowanie ransomware obsługiwane przez człowieka – wykryte jako Ransom:Win32/DoejoCrypt.A. Ataki ransomware obsługiwane przez ludzi wykorzystują luki w Microsoft Exchange do wykorzystywania klientów. #DrogiPłacz @Msftsecintel.

— Phillip Misner (@phillip_misner) 12 marca 2021 r.

Następnie oprogramowanie ransomware Dearcry próbuje uniemożliwić uruchomienie usługi Windows Update i zainstalowanie poprawki dotyczącej luki w zabezpieczeniach. Następnym krokiem jest zaszyfrowanie plików, a następnie dostarczenie noty okupu na pulpicie.

Podczas gdy Microsoft wydał łatkę ponad 10 dni temu, Palo Alto Networks zauważyło, że 80,000 XNUMX starszych serwerów nadal nie zostało załatanych.

„Nigdy nie widziałem tak wysokich wskaźników poprawek bezpieczeństwa dla żadnego systemu, a jeszcze mniej takiego szeroko rozpowszechnionego jak Microsoft Exchange” - powiedział Matt Kraning, dyrektor ds. Technologii, Cortex at Palo Alto Networks. „Mimo to wzywamy organizacje korzystające ze wszystkich wersji Exchange do założenia, że ​​zostały naruszone, zanim załatały swoje systemy, ponieważ wiemy, że osoby atakujące wykorzystywały te luki dnia zerowego na wolności przez co najmniej dwa miesiące, zanim Microsoft opublikował poprawki 2 marca. ”

przez BleepingComputer