Хакеры теперь устанавливают программы-вымогатели с помощью эксплойта Hafnium Exchange Server.

Первоначальные взломы серверов Hafnium, вероятно, были мотивированы шпионажем, но теперь началась предсказанная вторая волна, явно обусловленная преступным умыслом.

Microsoft подтвердила, что хакеры атакуют неустановленные серверы Exchange и в некоторых случаях устанавливают вымогатель Dearcry.

Microsoft обнаружила новое семейство клиентов, использующих программы-вымогатели, управляемые людьми, которые были обнаружены как Ransom:Win32/DoejoCrypt.A. Атаки программ-вымогателей, управляемых людьми, используют уязвимости Microsoft Exchange для эксплуатации клиентов. #ДорогойПлачь @MsftSecIntel

— Филипп Миснер (@phillip_misner) 12 марта 2021

Затем программа-вымогатель Dearcry пытается помешать запуску Центра обновления Windows и установить исправление для уязвимости. Следующим шагом является шифрование ваших файлов, а затем доставка записки о выкупе на ваш рабочий стол.

Хотя Microsoft выпустила исправление более 10 дней назад, Palo Alto Networks отметила, что 80,000 XNUMX старых серверов все еще не исправлены.

«Я никогда не видел такого высокого уровня исправлений безопасности для какой-либо системы, не говоря уже о такой широко распространенной, как Microsoft Exchange», - сказал Мэтт Крэнинг, технический директор Cortex в Palo Alto Networks. «Тем не менее, мы призываем организации, использующие все версии Exchange, предположить, что они были скомпрометированы, прежде чем они исправят свои системы, потому что мы знаем, что злоумышленники использовали эти уязвимости нулевого дня в дикой природе в течение как минимум двух месяцев до того, как Microsoft выпустила исправления 2 марта. ”

с помощью BleepingComputer