Różności i nowinki technologia

Operatorzy ransomware gromadzą się na już zhakowanych serwerach Exchange

Stylizowany list z żądaniem okupu zawiera bitcoiny w zamian za skradzione dane.

Serwery Microsoft Exchange zaatakowane w pierwszej rundzie ataków są po raz drugi infekowane przez gang ransomware, który próbuje zarobić na wielu exploitach, które przyłapały organizacje na całym świecie.

Ransomware – znane jako Black Kingdom, DEMON i DemonWare – żąda 10 000 dolarów za odzyskanie zaszyfrowanych danych, stwierdzili badacze bezpieczeństwa. Szkodliwe oprogramowanie jest instalowane na serwerach Exchange, które zostały wcześniej zainfekowane przez osoby atakujące wykorzystujące krytyczną lukę w programie pocztowym firmy Microsoft. Ataki rozpoczęły się, gdy luka była nadal zerowa. Nawet po wydaniu przez Microsoft poprawki awaryjnej aż 100 000 serwerów, które nie zainstalowały jej na czas, zostało zainfekowanych.

Puka okazja

Hakerzy stojący za tymi atakami zainstalowali powłokę internetową, która umożliwiała każdemu, kto zna adres URL, pełną kontrolę nad zaatakowanymi serwerami. Black Kingdom zostało zauważone w zeszłym tygodniu przez firmę ochroniarską SpearTip. Marcus Hutchins, badacz bezpieczeństwa w firmie ochroniarskiej Kryptos Logic, poinformował w niedzielę o tym złośliwym oprogramowaniu w rzeczywistości nie zaszyfrował plików.

We wtorek rano analityk Microsoft Threat Intelligence, Kevin Beaumont, poinformował, że atak Czarnego Królestwa „rzeczywiście tak jest zaszyfruj pliki.

Firma ochroniarska Arete również ujawniła w poniedziałek ataki Czarnego Królestwa.

Black Kingdom zostało zauważone w czerwcu ubiegłego roku przez firmę ochroniarską RedTeam. Ransomware przejmowało serwery, którym nie udało się załatać krytycznej luki w oprogramowaniu Pulse VPN. Black Kingdom pojawiło się również na początku ubiegłego roku.

Brett Callow, analityk bezpieczeństwa w Emsisoft, powiedział, że nie jest jasne, dlaczego jeden z ostatnich ataków Czarnego Królestwa nie zaszyfrował danych.

„Pierwotna wersja szyfrowała pliki, podczas gdy następna po prostu zmieniała ich nazwy” – napisał w e-mailu. „Nie jest jasne, czy obie wersje działają jednocześnie. Nie jest też jasne, dlaczego zmienili swój kod – być może dlatego, że proces zmiany nazwy (fałszywego szyfrowania) nie zostałby wykryty ani zablokowany przez produkty zabezpieczające? ”

Dodał, że jedna wersja oprogramowania ransomware wykorzystuje metodę szyfrowania, która w wielu przypadkach umożliwia przywrócenie danych bez płacenia okupu. Poprosił, aby metoda nie była szczegółowo opisana, aby uniemożliwić operatorom oprogramowania ransomware naprawienie błędu.

Patchowanie nie wystarczy

Ani Arete, ani Beaumont nie powiedzieli, czy ataki Black Kingdom uderzały w serwery, które jeszcze nie zainstalowały awaryjnej łatki Microsoftu, czy też atakujący po prostu przejmowali słabo zabezpieczone powłoki internetowe zainstalowane wcześniej przez inną grupę.

Dwa tygodnie temu Microsoft poinformował, że odrębna odmiana oprogramowania ransomware o nazwie DearCry przejmuje serwery zainfekowane przez Hafnium. Hafn to nazwa, którą firma nadała sponsorowanym przez państwo hakerom w Chinach, którzy jako pierwsi użyli ProxyLogon, nazwy nadanej łańcuchowi exploitów, który uzyskuje pełną kontrolę nad podatnymi na ataki serwerami Exchange.

Firma zabezpieczająca SpearTip stwierdziła jednak, że oprogramowanie ransomware atakowało serwery „po wstępnym wykorzystaniu dostępnych luk w zabezpieczeniach wymiany Microsoft”. Grupa instalująca konkurencyjne oprogramowanie ransomware DearCry również przeszła na barana.

Black Kingdom pojawia się, gdy liczba podatnych na ataki serwerów w Stanach Zjednoczonych spadła do mniej niż 10 000, według Politico, która cytuje rzecznika Rady Bezpieczeństwa Narodowego. Na początku tego miesiąca było około 120 000 wrażliwych systemów.

Jak podkreślają kolejne ataki ransomware, łatanie serwerów nie jest nawet w pobliżu pełnego rozwiązania trwającego kryzysu serwerów Exchange. Nawet jeśli serwery zainstalują aktualizacje zabezpieczeń, nadal mogą zostać zainfekowane oprogramowaniem ransomware, jeśli pozostaną jakiekolwiek powłoki internetowe.

Microsoft apeluje do dotkniętych organizacji, które nie mają doświadczonego personelu ds. Bezpieczeństwa, do uruchomienia tego skryptu łagodzącego ryzyko jednym kliknięciem.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook