Firma Microsoft potwierdziła, że nowa odmiana oprogramowania ransomware atakuje podatne na ataki lokalne serwery Microsoft Exchange niebezpieczne luki w zabezpieczeniach ProxyLogon ponieważ grupy cyberprzestępców skupiają się na tych, którzy jeszcze nie zastosowali lub nie mogą zastosować zalecanych łatek.
Powiedział Redmond za pośrednictwem tweeta że nowe oprogramowanie ransomware, Ransom: Win32 / DoejoCrypt.A lub DearCry, zostało wdrożone z początkowym przejęciem przez Exchange Server. Stwierdzono, że użytkownicy Microsoft Defender, którzy otrzymują automatyczne aktualizacje, nie powinni podejmować żadnych działań, ale lokalni użytkownicy Exchange powinni nadać priorytet aktualizacjom, które udostępnił, więcej informacji dostępnych tutaj.
Ponieważ coraz więcej złośliwych aktorów gromadzi luki w zabezpieczeniach ProxyLogon, pojawienie się gangów ransomware było tylko kwestią czasu, a wielu obserwatorów już przewidziało, że tak się stanie.
Według BleepingComputer, Sam DearCry – który wydaje się wypłynąć na początku tygodnia – wydaje się być dość powszechnym oprogramowaniem ransomware, ale w szczególności wydaje się, że nie zawiera błędów, które umożliwiłyby ofiarom odszyfrowanie ich danych za darmo.
Callum Roxan, szef wywiadu zagrożeń w F-Secure, powiedział: „Najnowsze doniesienia sugerują, że luka jest wykorzystywana przez podmioty atakujące oprogramowanie ransomware, więc tym bardziej konieczne jest, aby organizacje natychmiast je załatały. Jest bardzo prawdopodobne, że wszystkie niezatwierdzone serwery Exchange, które są narażone na Internet, są już zagrożone. ”
Richard Hughes, szef działu bezpieczeństwa technicznego u dostawcy usług bezpieczeństwa Grupa IT A&O, powiedział, że pojawienie się DearCry nie było zaskoczeniem. „Źli aktorzy spędzą całe godziny na jawie na poszukiwaniu luk do wykorzystania, aw tym przypadku wręczono im jedną na talerzu, więc oczywiście nie zmarnują okazji” – powiedział.
„Ataki ransomware są głównym źródłem dochodów finansowych dla przestępców, a ich wykonanie wymaga niewiele czasu i umiejętności, i chociaż organizacje nadal płacą te okupy, tak pozostanie. Luka w zabezpieczeniach ProxyLogin podkreśla, że organizacje nigdy nie powinny spocząć na laurach, jeśli chodzi o ich bezpieczeństwo, ponieważ natura luk zero-day jest taka, że ocena podatności może zostać zakończona dzisiaj i nadal być ofiarą ataku wykorzystującego nową lukę, która zostanie odkryta jutro . ”
W międzyczasie liczba potencjalnych ofiar z podatnymi na ataki serwerami nadal rośnie, nawet w miarę zwiększania się wysiłków związanych z łataniem. Nowe dane dostarczone do Computer Weekly przez naukowców pod adresem Szpieg sugeruje, że w chwili pisania tego tekstu liczba ta może wynosić nawet 283 000, przy czym tylko 26% zagrożonych instalacji zostało załatanych.
Punkt kontrolny Kierownik ds. wywiadu zagrożeń Lotem Finkelstein powiedział, że tylko w ciągu ostatnich 24 godzin (11-12 marca) liczba prób exploitów ProxyLogon podwajała się co dwie do trzech godzin – przy czym najczęściej atakowanymi pionami były organy rządowe i wojskowe, a następnie produkcja i finanse usługi.
Biorąc pod uwagę długowieczność luk, Finkelstein podkreślił znaczenie nie tylko łatania, ale także skanowania sieci pod kątem żywych zagrożeń i oceny wszystkich połączonych zasobów.
„Zaatakowane serwery mogą umożliwić nieautoryzowanemu napastnikowi wyodrębnienie firmowych wiadomości e-mail i wykonanie złośliwego kodu wewnątrz organizacji z wysokimi uprawnieniami” – powiedział.
Calvin Gan, starszy menedżer w jednostce obrony taktycznej firmy F-Secure, dodał: „Wzrost liczby ataków za pośrednictwem luk w zabezpieczeniach ProxyLogon może również wynikać z weryfikacji koncepcji [PoC] plik został wczoraj opublikowany w Githubie, czyli szybko usunięty przez Microsoft.
„Atakujący byli znani z wykorzystywania tego dnia zerowego przez jakiś czas, zanim łatka została wydana, a ponieważ PoC jest teraz dostępne publicznie, aczkolwiek z pewnymi błędami w kodzie, z pewnością znajdą się napastnicy, którzy zaadoptują to do swojego zestawu narzędzi, aby rozpocząć atak ”.