Różności i nowinki technologia

7000 serwerów Exchange jako pierwsze przejęte przez chińskich hakerów zaatakowało oprogramowanie ransomware

7000 serwerów Exchange jako pierwsze przejęte przez chińskich hakerów zaatakowało oprogramowanie ransomware

Getty Images

Teraz organizacje korzystające z Microsoft Exchange mają nowy problem z bezpieczeństwem: nigdy wcześniej nie widziane oprogramowanie ransomware, które jest instalowane na tysiącach serwerów, które zostały już zainfekowane przez hakerów sponsorowanych przez państwo w Chinach.

Microsoft zgłoszone nowa rodzina oprogramowania ransomware pod koniec czwartku, mówiąc, że została wdrożona po początkowym przejęciu serwerów. Nazwa Microsoft dla nowej rodziny to Ransom: Win32 / DoejoCrypt.A. Bardziej popularna nazwa to DearCry.

Odciąganie hafnu na barana

Firma ochroniarska Kryptos Logic powiedziany W piątek po południu wykrył blisko 7000 zhakowanych serwerów Exchange, które są zainfekowane oprogramowaniem ransomware. Badacz bezpieczeństwa Kryptos Logic, Marcus Hutchins, powiedział Arsowi, że ransomware to DearCry.

„Właśnie odkryliśmy 6970 odsłoniętych webshellów, które są publicznie ujawniane i zostały umieszczone przez podmioty wykorzystujące lukę w oprogramowaniu Exchange” – powiedział Kryptos Logic. „Te powłoki są używane do wdrażania oprogramowania ransomware”. Webshell to backdoory, które umożliwiają atakującym używanie interfejsu opartego na przeglądarce do uruchamiania poleceń i wykonywania złośliwego kodu na zainfekowanych serwerach.

Każdy, kto zna adres URL tych publicznych powłok internetowych, może uzyskać pełną kontrolę nad zaatakowanym serwerem. Hakerzy odpowiedzialni za infekcje używają tych powłok do rozmieszczania oprogramowania ransomware. Webshell zostały początkowo zainstalowane przez Hafnium, nazwę nadaną przez Microsoft sponsorowanemu przez państwo aktorowi grożącemu z Chin.

„Zasadniczo zaczynamy widzieć, jak przestępcy używają pocisków pozostawionych przez hafn, aby dostać się do sieci” – wyjaśnił Hutchins.

Hafn jest jednym z co najmniej dziewięciu APT – skrótów od grup zaawansowanych trwałych zagrożeń – które wykorzystały luki w oprogramowaniu Exchange znane jako ProxyLogon, które Microsoft załatał 2 marca. Większość lub prawdopodobnie wszystkie te APT mają powiązania z Chinami – stwierdzili naukowcy. Badacze stwierdzili również, że od stycznia, kiedy prawdopodobnie rozpoczęły się ataki, wykorzystano aż 100 000 serwerów.

Wdrożenie oprogramowania ransomware, które zdaniem ekspertów ds. Bezpieczeństwa było nieuniknione, podkreśla kluczowy aspekt ciągłej odpowiedzi na bezpieczne serwery wykorzystywane przez ProxyLogon. Nie wystarczy po prostu zainstalować łatki. Bez usuwania pozostawionych webshellów serwery pozostają otwarte na włamania ze strony hakerów, którzy pierwotnie zainstalowali backdoory, lub innych hakerów, którzy zastanawiają się, jak uzyskać do nich dostęp.

Niewiele wiadomo o DearCry. Firma ochroniarska Sophos powiedziany że jest oparty na kryptosystemie klucza publicznego, z kluczem publicznym osadzonym w pliku, który instaluje oprogramowanie ransomware. Pozwala to na szyfrowanie plików bez konieczności łączenia się z serwerem dowodzenia. Aby odszyfrować dane, ofiary muszą uzyskać klucz prywatny, który jest znany tylko atakującym.

Jednym z pierwszych, którzy odkryli DearCry, był Mark Gillespie, ekspert ds. Bezpieczeństwa, który prowadzi usługę, która pomaga badaczom identyfikować szczepy złośliwego oprogramowania. W czwartek on zgłoszone że od wtorku zaczął otrzymywać zapytania z serwerów Exchange w USA, Kanadzie i Australii dotyczące złośliwego oprogramowania, które nosiło ciąg „DEARCRY”.

On później znalazłem kogoś, kto publikuje na forum użytkowników na Bleeping Computer, mówiąc, że oprogramowanie ransomware było instalowane na serwerach, które zostały po raz pierwszy wykorzystane przez Hafnium. Bleeping Computer wkrótce potwierdził to przeczucie.

John Hultquist, wiceprezes firmy bezpieczeństwa Mandiant, powiedział, że wsparcie hakerów, którzy zainstalowali webshell, może być szybszym i wydajniejszym sposobem wdrażania złośliwego oprogramowania na niezałatanych serwerach niż wykorzystywanie luk w zabezpieczeniach ProxyLogon. I jak już wspomniano, nawet jeśli serwery są załatane, operatorzy oprogramowania ransomware mogą nadal atakować komputery, gdy powłoki internetowe nie zostały usunięte.

„W najbliższym czasie spodziewamy się większego wykorzystania luk w zabezpieczeniach giełdy przez podmioty ransomware” – napisał Hultquist w e-mailu. „Chociaż wiele wciąż niezałatanych organizacji mogło zostać wykorzystanych przez cyberprzestępców, przestępcze operacje ransomware mogą stanowić większe ryzyko, ponieważ zakłócają funkcjonowanie organizacji, a nawet wyłudzają ofiary, udostępniając skradzione wiadomości e-mail”.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook