Ataki Microsoft Exchange ProxyLogon rosną 10 razy w ciągu czterech dni


Liczba zaobserwowanych prób ataków wrażliwe serwery Microsoft Exchange wzrósł dziesięciokrotnie w ciągu zaledwie czterech dni, z 700 w czwartek 11 marca do 7200 dziennie do poniedziałku 15 marca, według nowych danych zebranych z Punkt kontrolny klienci.

Według Check Point Research, obrońcy prowadzą obecnie wyścig ze złośliwymi podmiotami, aby udaremnić ataki na niezałatane lokalne serwery Microsoft Exchange, przy czym najbardziej dotknięte są Stany Zjednoczone, które odnotowują 17% wszystkich prób exploitów, a następnie Niemcy i Wielka Brytania, Holandia i Rosja.

Najbardziej docelowymi sektorami postrzeganymi przez Check Point są nadal rząd i wojsko, które są celem 23% prób ataków, a następnie produkcja (15%), usługi bankowe i finansowe (14%), dostawcy oprogramowania (7%). ) i zdrowia (6%).

Luki w zabezpieczeniach ProxyLogon umożliwiają atakującym odczytywanie wiadomości e-mail z fizycznego, lokalnego serwera Exchange bez uwierzytelniania – nie ma to wpływu na Office 365 i instancje w chmurze – a łącząc dodatkowe luki w zabezpieczeniach, mogą przejąć serwer pocztowy ofiary, stwarzając krytyczne zagrożenie bezpieczeństwa – nowa odmiana oprogramowania ransomware, DearCry, pojawił się już, aby to wykorzystać.

„Zaatakowane serwery mogą umożliwić nieautoryzowanemu napastnikowi wyodrębnienie firmowych wiadomości e-mail i wykonanie złośliwego kodu wewnątrz organizacji z wysokimi uprawnieniami” – powiedział Lotem Finkelstein, kierownik ds. Analizy zagrożeń w firmie Check Point.

„Zagrożone organizacje powinny nie tylko podejmować działania zapobiegawcze na swojej giełdzie, ale także skanować swoje sieci pod kątem żywych zagrożeń i oceniać wszystkie zasoby”.

Reklama

Od końca piątku 12 marca donosi brytyjskie National Cyber ​​Security Center (NCSC) że zobaczył gdzieś od 7000 do 8000 podatnych na ataki serwerów w Wielkiej Brytanii, z których około połowa została już załatana – ta liczba z pewnością spadnie w ciągu weekendu, ale NCSC stwierdziło, że jest pewne, że istnieją serwery, które nigdy nie zostaną załatane – nadal często znajduje sprzęt podatny na wieloletnie błędy.

Niezałatane organizacje

NCSC proaktywnie nawiązuje kontakt z niezałatanymi organizacjami, które zidentyfikowała, i zachęca każdego, kto nadal korzysta z lokalnego serwera Exchange, do natychmiastowego wprowadzenia poprawek, zanim przeskanuje swoje systemy pod kątem oznak włamań.

John Hultquist, wiceprezes ds. Analiz at Mandiant Threat Intelligence, powiedział, że w najbliższym czasie spodziewa się znacznie większego wykorzystania luk w zabezpieczeniach ProxyLogon – szczególnie przez podmioty ransomware, gdy rozprzestrzeni się wieść o DearCry.

„Chociaż wiele wciąż niezałatanych organizacji mogło zostać wykorzystanych przez cyberprzestępców, przestępcze operacje ransomware mogą stanowić większe ryzyko, ponieważ zakłócają funkcjonowanie organizacji, a nawet wyłudzają ofiary, udostępniając skradzione wiadomości e-mail” – powiedział Hultquist. „Operatorzy oprogramowania ransomware mogą zarabiać na swoim dostępie, szyfrując wiadomości e-mail lub grożąc ich ujawnieniem, taktykę, którą niedawno przyjęli. ”

„Ponadto mogą wykorzystać dostęp uzyskany za pomocą exploitów do dalszej penetracji sieci docelowych. Niestety, wiele z pozostałych wrażliwych organizacji to małe i średnie przedsiębiorstwa, władze stanowe i lokalne oraz szkoły, które będą walczyć o nadążanie za zalewem aktorów wykorzystujących ten coraz bardziej dostępny exploit ”.

Andy Barratt, dyrektor zarządzający firmy konsultingowej ds. Bezpieczeństwa cybernetycznego w Wielkiej Brytanii Palenisko węglowe, powiedział: „Jest nieuniknione, że duża liczba firm w Wielkiej Brytanii jest już wykorzystywana w wyniku luki w Microsoft Exchange. Jest to najczęściej używana platforma e-mailowa na świecie, więc moim głównym zmartwieniem są tysiące małych firm, które obecnie z niej korzystają, z ograniczoną wewnętrzną wiedzą o cyberprzestrzeni, które mogły już zostać naruszone.

„Ostrzeżenia ransomware publikowane przez NCSC to prawdopodobnie tylko wierzchołek góry lodowej pod względem wartości, jaką hakerzy mogą wyciągnąć z firm za pośrednictwem Exchange. Poczta elektroniczna jest bardzo często częścią łańcucha zatwierdzania faktur i płac, oferując cyberprzestępcom wiele możliwości popełnienia oszustwa poprzez wysyłanie fałszywych faktur lub podszywanie się pod personel wyższego szczebla. Szereg gotowych narzędzi dostępnych dla cyberprzestępców w ciemnej sieci oznacza również, że te cyfrowe napady mogą być przeprowadzane przy ograniczonej wiedzy technicznej.

„Każda firma korzystająca z Exchange musi natychmiast zainstalować poprawkę Microsoftu, ale nie pomoże to tym, które zostały już naruszone. Od teraz firmy muszą dowiedzieć się, czy zostały zinfiltrowane i które systemy są wykorzystywane ”- powiedział Barratt.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Gwarancja blokady cen T-Mobile nie jest prawdziwa, twierdzi BBB; reklamy wycofane

Oddział Better Business Bureau (BBB) ​​stwierdził, że T Mobile gwarancja blokady ceny nie jest czymś takim i wezwał firmę do zaprzestania jej reklamowania. Ten...

Nintendo Direct czerwiec 2024: godzina rozpoczęcia i sposób oglądania na żywo

Atak letnich wiadomości o grach może w końcu dobiec końca – ale nie wcześniej niż Nintendo wyrazi swoją opinię. Śledzenie wydarzeń z...

TDK przedstawia nowy materiał na akumulatory półprzewodnikowe o 100-krotnie większej gęstości energii

Firma TDK Corporation ogłosiła pomyślne opracowanie nowego materiału na akumulatory półprzewodnikowe nowej generacji o gęstości energii 1000 Wh/l, czyli około 100 razy większej...
Advertisment