Ataki Microsoft Exchange ProxyLogon rosną 10 razy w ciągu czterech dni


Liczba zaobserwowanych prób ataków wrażliwe serwery Microsoft Exchange wzrósł dziesięciokrotnie w ciągu zaledwie czterech dni, z 700 w czwartek 11 marca do 7200 dziennie do poniedziałku 15 marca, według nowych danych zebranych z Punkt kontrolny klienci.

Według Check Point Research, obrońcy prowadzą obecnie wyścig ze złośliwymi podmiotami, aby udaremnić ataki na niezałatane lokalne serwery Microsoft Exchange, przy czym najbardziej dotknięte są Stany Zjednoczone, które odnotowują 17% wszystkich prób exploitów, a następnie Niemcy i Wielka Brytania, Holandia i Rosja.

Najbardziej docelowymi sektorami postrzeganymi przez Check Point są nadal rząd i wojsko, które są celem 23% prób ataków, a następnie produkcja (15%), usługi bankowe i finansowe (14%), dostawcy oprogramowania (7%). ) i zdrowia (6%).

Luki w zabezpieczeniach ProxyLogon umożliwiają atakującym odczytywanie wiadomości e-mail z fizycznego, lokalnego serwera Exchange bez uwierzytelniania – nie ma to wpływu na Office 365 i instancje w chmurze – a łącząc dodatkowe luki w zabezpieczeniach, mogą przejąć serwer pocztowy ofiary, stwarzając krytyczne zagrożenie bezpieczeństwa – nowa odmiana oprogramowania ransomware, DearCry, pojawił się już, aby to wykorzystać.

„Zaatakowane serwery mogą umożliwić nieautoryzowanemu napastnikowi wyodrębnienie firmowych wiadomości e-mail i wykonanie złośliwego kodu wewnątrz organizacji z wysokimi uprawnieniami” – powiedział Lotem Finkelstein, kierownik ds. Analizy zagrożeń w firmie Check Point.

„Zagrożone organizacje powinny nie tylko podejmować działania zapobiegawcze na swojej giełdzie, ale także skanować swoje sieci pod kątem żywych zagrożeń i oceniać wszystkie zasoby”.

Reklama

Od końca piątku 12 marca donosi brytyjskie National Cyber ​​Security Center (NCSC) że zobaczył gdzieś od 7000 do 8000 podatnych na ataki serwerów w Wielkiej Brytanii, z których około połowa została już załatana – ta liczba z pewnością spadnie w ciągu weekendu, ale NCSC stwierdziło, że jest pewne, że istnieją serwery, które nigdy nie zostaną załatane – nadal często znajduje sprzęt podatny na wieloletnie błędy.

Niezałatane organizacje

NCSC proaktywnie nawiązuje kontakt z niezałatanymi organizacjami, które zidentyfikowała, i zachęca każdego, kto nadal korzysta z lokalnego serwera Exchange, do natychmiastowego wprowadzenia poprawek, zanim przeskanuje swoje systemy pod kątem oznak włamań.

John Hultquist, wiceprezes ds. Analiz at Mandiant Threat Intelligence, powiedział, że w najbliższym czasie spodziewa się znacznie większego wykorzystania luk w zabezpieczeniach ProxyLogon – szczególnie przez podmioty ransomware, gdy rozprzestrzeni się wieść o DearCry.

„Chociaż wiele wciąż niezałatanych organizacji mogło zostać wykorzystanych przez cyberprzestępców, przestępcze operacje ransomware mogą stanowić większe ryzyko, ponieważ zakłócają funkcjonowanie organizacji, a nawet wyłudzają ofiary, udostępniając skradzione wiadomości e-mail” – powiedział Hultquist. „Operatorzy oprogramowania ransomware mogą zarabiać na swoim dostępie, szyfrując wiadomości e-mail lub grożąc ich ujawnieniem, taktykę, którą niedawno przyjęli. ”

„Ponadto mogą wykorzystać dostęp uzyskany za pomocą exploitów do dalszej penetracji sieci docelowych. Niestety, wiele z pozostałych wrażliwych organizacji to małe i średnie przedsiębiorstwa, władze stanowe i lokalne oraz szkoły, które będą walczyć o nadążanie za zalewem aktorów wykorzystujących ten coraz bardziej dostępny exploit ”.

Andy Barratt, dyrektor zarządzający firmy konsultingowej ds. Bezpieczeństwa cybernetycznego w Wielkiej Brytanii Palenisko węglowe, powiedział: „Jest nieuniknione, że duża liczba firm w Wielkiej Brytanii jest już wykorzystywana w wyniku luki w Microsoft Exchange. Jest to najczęściej używana platforma e-mailowa na świecie, więc moim głównym zmartwieniem są tysiące małych firm, które obecnie z niej korzystają, z ograniczoną wewnętrzną wiedzą o cyberprzestrzeni, które mogły już zostać naruszone.

„Ostrzeżenia ransomware publikowane przez NCSC to prawdopodobnie tylko wierzchołek góry lodowej pod względem wartości, jaką hakerzy mogą wyciągnąć z firm za pośrednictwem Exchange. Poczta elektroniczna jest bardzo często częścią łańcucha zatwierdzania faktur i płac, oferując cyberprzestępcom wiele możliwości popełnienia oszustwa poprzez wysyłanie fałszywych faktur lub podszywanie się pod personel wyższego szczebla. Szereg gotowych narzędzi dostępnych dla cyberprzestępców w ciemnej sieci oznacza również, że te cyfrowe napady mogą być przeprowadzane przy ograniczonej wiedzy technicznej.

„Każda firma korzystająca z Exchange musi natychmiast zainstalować poprawkę Microsoftu, ale nie pomoże to tym, które zostały już naruszone. Od teraz firmy muszą dowiedzieć się, czy zostały zinfiltrowane i które systemy są wykorzystywane ”- powiedział Barratt.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

What to watch on Apple TV Plus

Apple TV+ offers exclusive Apple original TV shows and movies in 4K HDR quality. You can watch across all of your screens and...

YMTC twierdzi, że 3D QLC NAND oferuje wytrzymałość porównywalną z 3D TLC NAND

Jak podaje ITHome, firma twierdzi, że chipy flash YMTC X3-6070 3D QLC NAND oferują wytrzymałość porównywalną z chipami flash 3D TLC NAND oferowanych...

Praktyczne: jak korzystać z SharePlay w CarPlay z Apple Music

Jedna z dużych zmian w iOS 17 dla CarPlay użytkowników jest dodanie obsługi SharePlay dla Apple Music. Dzięki tej funkcji każda osoba...
Advertisment