Hackerii instalează acum Ransomware utilizând exploatarea Hafnium Exchange Server
1 min. citit
Publicat în data de
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Hackurile originale ale serverului Hafnium erau probabil motivate de spionaj, dar acum a început cel de-al doilea val prevăzut, clar condus de intenția criminală.
Microsoft a confirmat că hackerii atacă serverele Exchange neperfectate și instalează ransomware-ul Dearcry în anumite ocazii.
Microsoft a observat o nouă familie de clienți care atacă ransomware operați de oameni – detectați ca Ransom:Win32/DoejoCrypt.A. Atacurile ransomware operate de oameni folosesc vulnerabilitățile Microsoft Exchange pentru a exploata clienții. #DearCry @MsftSecIntel
— Phillip Misner (@phillip_misner) Martie 12, 2021
Ransomware-ul Dearcry încearcă apoi să împiedice rularea Windows Update și să instaleze o remediere pentru vulnerabilitate. Următorul pas este criptarea fișierelor și apoi livrarea unei note de răscumpărare pe desktop.
În timp ce Microsoft a lansat un patch cu mai mult de 10 zile în urmă, Palo Alto Networks a menționat că 80,000 de servere mai vechi sunt încă nepatched.
„Nu am văzut niciodată rate de securitate atât de mari pentru niciun sistem, cu atât mai puțin unul la fel de răspândit ca Microsoft Exchange”, a declarat Matt Kraning, Chief Technology Officer, Cortex la Palo Alto Networks. „Totuși, îndemnăm organizațiile care rulează toate versiunile Exchange să presupună că au fost compromise înainte de a-și repara sistemele, deoarece știm că atacatorii exploatau aceste vulnerabilități de zi zero în natură timp de cel puțin două luni înainte ca Microsoft să lanseze patch-urile pe 2 martie. ”