Hekerji zdaj namestijo Ransomware z uporabo Hafnium Exchange Server exploit

Prvotni vdori v strežnike Hafnium so bili verjetno motivirani z vohunstvom, zdaj pa se je začel napovedani drugi val, ki ga očitno vodi kriminalni namen.

Microsoft je potrdil, da hekerji občasno napadajo neizkrčene strežnike Exchange in nameščajo ransomware Dearcry.

Microsoft je opazil novo družino strank napadov z odkupovalno programsko opremo, ki jih upravljajo ljudje – zaznane kot Ransom:Win32/DoejoCrypt.A. Napadi z izsiljevalsko programsko opremo, ki jih upravljajo ljudje, uporabljajo ranljivosti Microsoft Exchange za izkoriščanje strank. #Spoštovani @MsftSecIntel

— Phillip Misner (@phillip_misner) Marec 12, 2021

Izsiljevalska programska oprema Dearcry nato poskuša preprečiti zagon Windows Update in namestiti popravek za ranljivost. Naslednji korak je šifriranje datotek in nato pošiljanje odkupnine na namizje.

Medtem ko je Microsoft izdal popravek pred več kot 10 dnevi, je Palo Alto Networks ugotovil, da 80,000 starejših strežnikov še vedno ni mogoče popraviti.

"Nikoli nisem videl tako visokih stopenj varnostnih popravkov za noben sistem, še manj pa za tako široko uporabljeno tehnologijo, kot je Microsoft Exchange," je povedal Matt Kraning, glavni tehnološki direktor, Cortex pri Palo Alto Networks. "Kljub temu pozivamo organizacije, ki uporabljajo vse različice Exchangea, da domnevajo, da so bile ogrožene, preden so popravile svoje sisteme, saj vemo, da so napadalci vsaj dva meseca izkoriščali te ranljivosti nič v divjini, preden je Microsoft 2. marca izdal popravke. "

preko BleepingComputer