Tin tặc hiện đang cài đặt Ransomware bằng cách sử dụng khai thác Hafnium Exchange Server
1 phút đọc
Được đăng trên
Chia sẻ bài báo này
Cải thiện hướng dẫn này
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Các vụ hack máy chủ Hafnium ban đầu có thể là do động cơ gián điệp, nhưng giờ đây, làn sóng thứ hai được dự đoán rõ ràng là do mục đích tội phạm đã bắt đầu.
Microsoft đã xác nhận tin tặc đang tấn công các máy chủ Exchange chưa được vá và cài đặt phần mềm tống tiền Dearcry vào một số trường hợp.
Microsoft đã quan sát thấy một nhóm khách hàng tấn công ransomware mới do con người điều hành - được phát hiện là Ransom: Win32 / DoejoCrypt.A. Các cuộc tấn công ransomware do con người điều hành đang sử dụng các lỗ hổng Microsoft Exchange để khai thác khách hàng. #DearCry @MsftSecIntel
- Phillip Misner (@phillip_misner) 12 Tháng ba, 2021
Sau đó, ransomware Dearcry cố gắng ngăn Windows Update chạy và cài đặt bản sửa lỗi cho lỗ hổng bảo mật. Bước tiếp theo là mã hóa các tệp của bạn và sau đó gửi thông báo tiền chuộc trên màn hình của bạn.
Trong khi Microsoft đã phát hành bản vá cách đây hơn 10 ngày, Palo Alto Networks lưu ý rằng 80,000 máy chủ cũ vẫn chưa được vá.
Matt Kraning, Giám đốc Công nghệ, Cortex cho biết: “Tôi chưa bao giờ thấy tỷ lệ bản vá bảo mật cao như vậy đối với bất kỳ hệ thống nào, ít hơn một hệ thống được triển khai rộng rãi như Microsoft Exchange,” Palo Alto Networks. “Tuy nhiên, chúng tôi kêu gọi các tổ chức đang chạy tất cả các phiên bản Exchange giả định rằng họ đã bị xâm nhập trước khi vá hệ thống của họ, bởi vì chúng tôi biết những kẻ tấn công đang khai thác các lỗ hổng zero-day này trong ít nhất hai tháng trước khi Microsoft phát hành các bản vá vào ngày 2/XNUMX. ”
thông qua BleepingComputer
