Това е установила компанията за киберсигурност Sophos, докато е разследвала инцидент при свой клиент, от когото е поискан откуп.
Степента на заплахата е класифицирана като „висока“. Престъпниците сканират постоянно интернет за жертви. След като ви набележат, могат да получат достъп почти незабавно и до часове да заразят мрежата ви. Следващата стъпка е получаване на администраторски достъп до домейна и изпълнение на злонамерени команди.
Препоръки:
Актуализирайте възможно най-скоро локалния си Exchange Server; ако използвате стара версия, приоритетно мигрирайте към актуална и инсталитайте пачовете.
Приложите защита от злонамерен софтуер за своите сървъри – престъпниците преследват точно тях, защото знаят, че те не са толкова защитени, колкото крайните точки.
Проследявайте, документирайте и актуализирайт редовно администраторските права за достъп до сървърите ви.
Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.
Атаката се разпространява
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry@MsftSecIntel
Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb
Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:
Криптираните файлове получават допълнително разширение .CRYPT:
Файлове, криптирани от DearCry
Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:
Криптиран файл, маркиран от DearCry
След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:
Бележка за откуп от DearCry
Пачнахте ли Microsoft Exchange сървърите си
Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.
Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.
Препоръки
Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.
Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEHpic.twitter.com/xD94M8Czg5
— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021
