» »

Exchange strežniki zdaj napadeni še z ransomwarom

Exchange strežniki zdaj napadeni še z ransomwarom

bleepingcomputer.com - Nedavno razkrite ranljivosti v poštnih strežnikih Exchange zdaj nepridipravi izkoriščajo še za nameščanje izsiljevalske zlobne kode, so sporočili iz Microsofta. Gre za novo obliko ransomwara, znano pod imenom DoejoCrypt oz. DearCry, ki izkorišča iste ranljivosti, kot jih je uporabila hekerska skupina Hafnium, domnevno povezana s kitajskimi oblastmi.

Microsoft je pred tednom dni sicer objavil popravek, ki pa ne pomaga, če so bili strežniki napadeni že pred tem in ranljivost izkoriščena za namestitev zlobne kode. Kot pojasnjujejo, so pripadniki Hafniuma ranljivosti najverjetneje izkoristili za zbiranje obveščevalnih podatkov, pozneje, nekje po 9. marcu, pa so se jih z drugimi, beri izsiljevalskimi nameni, poslužile še številne druge vdiralske skupine, ki trenutno aktivno napadajo strežnike v ZDA, Kanadi in Avstraliji. Ameriški FBI in CISA (Cybersecurity and Infrastructure Security Agency) sta že objavila opozorilo, da ranljivost predstavlja veliko nevarnost za podjetja in kot kažejo podatki, število žrtev počasi narašča.

Iz varnostnega podjetja Kryptos Logic so tako sporočili, da so pri podjetjih v zadnjih dneh odkrili skoraj sedem tisoč webshellov, torej backdoorov za oddaljen dostop, ki so jih namestili vdiralci, z njihovo pomočjo pa na napadene strežnike namestijo izsiljevalsko kodo. To počnejo ročno, zato vsi med prej omenjenimi sedmimi tisočimi, niso okuženi z DearCry. Vsakdo, ki ima spletni naslov do takega webshella lahko nato prevzame popolno kontrolo nad strežnikom. O samem DearCryju je za zdaj malo znanega; temeljil naj bi na javnem šifrirnem ključu, ki je že vključen v datoteko, s katero se ransomware namesti, kar pomeni, da se sistem zašifrira, brez da bi zato potreboval povezavo do command & control centra. Za dostop do tega ključa pa žrtev potrebuje zasebni ključ, ki ga lahko dobi samo pri napadalcih.

11 komentarjev

filip007 ::

Bo pač treba "reinstall" Windows Server, saj to ni nič novega na Polknah.
Toshiba L650 + SSD + Ubuntu LTS.

celje ::

samo na "server" verzijah?

Afo ::

filip007 je izjavil:

Bo pač treba "reinstall" Windows Server, saj to ni nič novega na Polknah.


Bom kr ugibal: nekje od leta 1977 naprej si certificiran MS strokovnjak s področja in so ti tovrstne zadeve zelo blizu. Sklepam po tem kako ti je tovrstna tematika "enostavna".
Bolje biti mlad in neumen, kot samo neumen!

damirj79 ::

On pač na drugačen način ne zna pristopiti k reševanju problemov.

filip007 ::

Za "reinstall" ne rabiš certifikata.
Toshiba L650 + SSD + Ubuntu LTS.

RedDrake ::

damirj79 je izjavil:

On pač na drugačen način ne zna pristopiti k reševanju problemov.

Seveda, ker če imaš webshellan server, potem se kaj takega pač zagotovo ne more zgoditi - HW malware.
Samo malo se popuca datoteke pa smo good to go!

Če bi jaz imel kak mission critical sistem javno exposan z webshellom - sploh z občutljivi podatki - gre skupaj s HW vse skupaj v smeti.

damirj79 ::

Mešaš japke in hruške.

Jure14 ::

Nič ne dela čežane.

Če je zadeva okužena, odklopiš iz omrežja, rešiš podatke, kar se da, HW pa ....
(če si dovolj bogat in če misliš, da si pomemben, ga vržeš v smeti)

RedDrake ::

Tudi če misliš da nisi pomemben, rataš pomemben ko potrkajo na vrata krimiči, ker si utajil za 200k EUR davka na poljskem. Aja ti o tem nič ne veš?
Ziher ni bil trojanc na tvojem serverju, to že ne ...

mrdaco ::

Kako pa se utaja davek na poljskem preko Exchange serverja? Razloži prosim.

Zgodovina sprememb…

  • spremenil: mrdaco ()

RedDrake ::

S krajo identitete. Kar je mnogo bolj preprosto če imaš dostop do Exchange od neke firme, kot pa če ga nimaš.
Dodatno lahko v maile in/ali druge stvari vstavljaš malware in čakaš na priložnost za širitev po drugih storitvah podjetja.
Lej, če si trojanca skril v HW, potem se ti ne mudi, je časa na pretek ...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V Ukrajini ogromne težave zaradi izsiljevalskega virusa, ki se že širi na Zahod (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5320676 (16817) SeMiNeSanja
»

Locky dobil nov način širjenja

Oddelek: Novice / Kriptovalute
3910721 (7438) Jupito
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16936409 (27519) SeMiNeSanja
»

Izsiljevalski virusi napadajo tudi spletne strežnike na Linuxu

Oddelek: Novice / Kriptovalute
2010395 (7940) filipk
»

Odkrit trojanec za Linux (strani: 1 2 3 )

Oddelek: Novice / Varnost
12530181 (23794) SeMiNeSanja

Več podobnih tem