Exchange strežniki zdaj napadeni še z ransomwarom
Dare Hriberšek
14. mar 2021 ob 18:46:34
Nedavno razkrite ranljivosti v poštnih strežnikih Exchange zdaj nepridipravi izkoriščajo še za nameščanje izsiljevalske zlobne kode, so sporočili iz Microsofta. Gre za novo obliko ransomwara, znano pod imenom DoejoCrypt oz. DearCry, ki izkorišča iste ranljivosti, kot jih je uporabila hekerska skupina Hafnium, domnevno povezana s kitajskimi oblastmi.
Microsoft je pred tednom dni sicer objavil popravek, ki pa ne pomaga, če so bili strežniki napadeni že pred tem in ranljivost izkoriščena za namestitev zlobne kode. Kot pojasnjujejo, so pripadniki Hafniuma ranljivosti najverjetneje izkoristili za zbiranje obveščevalnih podatkov, pozneje, nekje po 9. marcu, pa so se jih z drugimi, beri izsiljevalskimi nameni, poslužile še številne druge vdiralske skupine, ki trenutno aktivno napadajo strežnike v ZDA, Kanadi in Avstraliji. Ameriški FBI in CISA (Cybersecurity and Infrastructure Security Agency) sta že objavila opozorilo, da ranljivost predstavlja veliko nevarnost za podjetja in kot kažejo podatki, število žrtev počasi narašča.
Iz varnostnega podjetja Kryptos Logic so tako sporočili, da so pri podjetjih v zadnjih dneh odkrili skoraj sedem tisoč webshellov, torej backdoorov za oddaljen dostop, ki so jih namestili vdiralci, z njihovo pomočjo pa na napadene strežnike namestijo izsiljevalsko kodo. To počnejo ročno, zato vsi med prej omenjenimi sedmimi tisočimi, niso okuženi z DearCry. Vsakdo, ki ima spletni naslov do takega webshella lahko nato prevzame popolno kontrolo nad strežnikom. O samem DearCryju je za zdaj malo znanega; temeljil naj bi na javnem šifrirnem ključu, ki je že vključen v datoteko, s katero se ransomware namesti, kar pomeni, da se sistem zašifrira, brez da bi zato potreboval povezavo do command & control centra. Za dostop do tega ključa pa žrtev potrebuje zasebni ključ, ki ga lahko dobi samo pri napadalcih.