Това е установила компанията за киберсигурност Sophos, докато е разследвала инцидент при свой клиент, от когото е поискан откуп.
Степента на заплахата е класифицирана като „висока“. Престъпниците сканират постоянно интернет за жертви. След като ви набележат, могат да получат достъп почти незабавно и до часове да заразят мрежата ви. Следващата стъпка е получаване на администраторски достъп до домейна и изпълнение на злонамерени команди.
Препоръки:
Актуализирайте възможно най-скоро локалния си Exchange Server; ако използвате стара версия, приоритетно мигрирайте към актуална и инсталитайте пачовете.
Приложите защита от злонамерен софтуер за своите сървъри – престъпниците преследват точно тях, защото знаят, че те не са толкова защитени, колкото крайните точки.
Проследявайте, документирайте и актуализирайт редовно администраторските права за достъп до сървърите ви.
Руската външна разузнавателна служба SVR, известна още сред изследователите по киберсигурност като APT29, Cozy Bear и The Dukes, продължава да атакува правителства, организации и доставчици на енергия по целия свят. Хакерската група се възползва от нови техники, включително експлоатация на zero-day уязвимости, като тези на Microsoft Exchange.
Предупреждението идва едновременно от Агенцията за сигурност на инфраструктурата за киберсигурност (CISA), Федералното бюро за разследвания (ФБР) и Националната агенция за сигурност (NSA) на САЩ, както и от Националния център за киберсигурност на Обединеното кралство. Службите приписват на SVR атаката SolarWinds и няколко кампании, насочени към разработчиците на ваксини срещу Covid-19.
Сред експлоатираните уязвимости (всички те имат налични пачове) се включват:
Голяма част от компаниите и организациите вече са закърпили уязвимостите, но все още съществуват заразени устройства. Те могат да бъдат експлоатирани с цел провеждане на последващи атаки.
Затова Федералното бюро за разследвания (ФБР) на САЩ е издействало съдебно разрешение за извършване на отдалечена операция по премахване на злонамерения софтуер.
Агенцията използва именно същите web shells / backdoors, за да проникне отдалечено в незащитени устройства и да изтрие малуера от тях. Смята се, че това ще предотврати ескалиране на постоянен, неоторизиран достъп до мрежата.
Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.
Атаката се разпространява
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry@MsftSecIntel
Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb
Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:
Криптираните файлове получават допълнително разширение .CRYPT:
Файлове, криптирани от DearCry
Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:
Криптиран файл, маркиран от DearCry
След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:
Бележка за откуп от DearCry
Пачнахте ли Microsoft Exchange сървърите си
Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.
Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.
Препоръки
Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.
Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEHpic.twitter.com/xD94M8Czg5
— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021
Затова Белият дом обединява усилия с частния сектор за увеличаване на киберзащитата в държавата.
За първи път компании от частния сектор са поканени да участват в ключови срещи за националната сигурност с цел да подпомогнат намирането на адекватни решения.
Нуждата от прилагане на спешни мерки се налага и от появата на нов щам на рансъмуер, който използва недостатък в сигурността на сървърите на Microsoft Exchange.
Оттогава обаче специалисти по сигурността наблюдават още по-засилена (дори автоматизирана) кампания по тяхното експлоатиране, която може да бъде използвана за последващо внедряването на рансъмуер и кражба на данни. Ако до момента не сте приложили ъпдейта, потенциално сте застрашени.
Имайте предвид, че актуализацията ще коригира само уязвимостите на Exchange Server. Но ако вече сте компрометирани, ще трябва да премахнете задната врата (backdoor), която хакерите поставят, за да получат администраторски достъп до системата ви.
Microsoft изрично разясни, че тези експлойти нямат нищо общо със SolarWinds. Все пак, хакерската атака се разглежда като втората голяма криза в киберсигурността, идваща само месеци след като руски хакери поразиха девет федерални агенции на САЩ и стотици компании по целия свят.
Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.
Досега са станали известни поне 60 хил. жертви в световен мащаб. Само в САЩ хакерите са проникнали в поне 30 хил. организации, използващи Exchange за обработка на имейли вкл. полицейски управления, болници, местни държавни структури, банки, телекомуникационни доставчици и др.
Препоръки:
Инсталирайте незабавно наличния ъпдейт, ако не сте го направили до момента
Когато не е възможно се инсталирате критичните актуализации на Microsoft Exchange, блокирайтет достъпа на недоверени връзки до порт 443; същевременно конфигурирайте вашия Exchange Server така, че достъпът до него да става само дистанционно, чрез VPN
Следете внимателно за злонамерена дейност, ако се съмнявате, че може да сте засегнати
Налични са няколко актуализации на защитата на Microsoft Exchange Server за справяне с уязвимости, които са били използвани при таргетирани атаки.
Уязвимостите са критични, затова е препоръчително незабавно да приложите ъпдейта.
#ESETresearch strongly advises to update all Microsoft Exchange servers (versions 2013, 2016 and 2019) to the latest update released today. Multiple pre-authentication Remote Code Execution vulnerabilities were found: https://t.co/E1xjhVY2a3 1/5
82.5% от Microsoft Exchange сървърите, засегнати от критичната уязвимост CVE-2020-0688 все още не са пчнати. Общият им брой е над 357 хил. Ако сте сред тях, ъпдейтнете максимално бързо.
Пачът за уязвимостта е публикуван преди повече от 2 месеца – през февруари 2020 г. За самата уязвимост вече има Proof-of-concept (PoC). тя позволява отдалечено изпълнение на код (RCE).
