Στοχεύει unpatched Microsoft Exchange servers
Εγκληματίες του κυβερνοχώρου στοχεύουν τώρα
Microsoft
Exchange
servers
με ένα νέο
ransomware
που ονομάζεται “
DEARCRY
“. Οι επιτιθέμενοι εγκαθιστούν το ransοmware αφού
πρώτα έχουν παραβιάσει τους
servers
χρησιμοποιώντας τις
ευπάθειες
ProxyLogon, που αποκαλύφθηκαν πρόσφατα.
Όταν η
Microsoft
αποκάλυψε ότι εγκληματίες του κυβερνοχώρου παραβίαζαν
Microsoft
Exchange
servers
χρησιμοποιώντας νέες zero-day
ευπάθειες
, πολλοί φοβήθηκαν ότι οι επιτιθέμενοι θα άρχιζαν σύντομα να αξιοποιούν τις
ευπάθειες
για να πραγματοποιήσουν
ransomware
επιθέσεις
.
Δείτε επίσης
: Κοινοβούλιο της Νορβηγίας: Κλάπηκαν data κατά το
Microsoft
Exchange
hack
Καθώς φαίνεται, ο φόβος αυτός βγήκε αληθινός, αφού τώρα οι επιτιθέμενοι στοχεύουν
Microsoft
Exchange
servers
με το DearCry
ransomware
.
DearCry
ransomware
Σύμφωνα με τον
Michael Gillespie
, τον δημιουργό του site αναγνώρισης
ransomware
,
ID-Ransοmware,
τις τελευταίες τρεις ημέρες, διάφοροι χρήστες άρχισαν να αναφέρουν ότι έπεσαν
θύματα
ενός νέου
ransomware
.
Ο Gillespie ανακάλυψε ότι σχεδόν όλες οι αναφορές σχετίζονταν με
Microsoft
Exchange
servers
.
Η
Microsoft
επιβεβαίωσε ότι το DearCry
ransomware
χρησιμοποιείται σε
επιθέσεις
σε
Microsoft
Exchange
servers
, με την αξιοποίηση των ευπαθειών ProxyLogon.
Το
MalwareHunterTeam
μπόρεσε να βρει τρία δείγματα αυτού του ransοmware στο VirusTotal. Όλα είναι
MingW-compiled εκτελέσιμα.
Σύμφωνα με τον
Vitali Kremez
της
Advanced
Intel
,
αρχικά το DearCry
ransomware
προσπαθεί να κλείσει μια
Windows
υπηρεσία
με το
όνομα
“msupdate”. Δεν είναι γνωστή η
λειτουργία
αυτής της υπηρεσίας, αλλά μάλλον δεν είναι νόμιμη
υπηρεσία
των
Windows
.
Στη συνέχεια, το ransοmware αρχίζει να
κρυπτογραφεί τα αρχεία
στον υπολογιστή. Κατά την κρυπτογράφηση αρχείων, προσαρτά την επέκταση .CRYPT.
Ο Gillespie είπε στο BleepingComputer ότι το ransοmware χρησιμοποιεί
AES-256 + RSA-2048
για την κρυπτογράφηση των αρχείων.
Με την ολοκλήρωση της κρυπτογράφησης του υπολογιστή, το
ransomware
δημιουργεί ένα σημείωμα λύτρων με το
όνομα
“readme.txt” στην επιφάνεια εργασίας των
Windows
. Το σημείωμα περιέχει δύο
διευθύνσεις
ηλεκτρονικού ταχυδρομείου για τους επιτιθέμενους και έναν μοναδικό hash, που σύμφωνα με τον Gillespie, είναι ένα MD4 hash του RSA
public
key.
Ένα από τα
θύματα
δήλωσε ότι οι
hackers
του ζήτησαν 16.000 $.
Δείτε επίσης
:
Ransomware
: Μειώνονται τα απαιτούμενα λύτρα αφού τα
θύματα
αρνούνται να πληρώσουν
Προς το παρόν, δεν έχουν βρεθεί “αδυναμίες” του
ransomware
, που θα επέτρεπαν στους χρήστες
Microsoft
Exchange
servers
να ανακτήσουν τα
δεδομένα
τους, χωρίς να πληρώσουν τα λύτρα.
Ενημερώστε τα
συστήματα
άμεσα!
Όπως είπαμε και παραπάνω, η εγκατάσταση του
ransomware
γίνεται χάρη στην
εκμετάλλευση
των ευπαθειών ProxyLogon. Επομένως,
σε κίνδυνο βρίσκονται οι unpatched (μη ενημερωμένοι)
Microsoft
Exchange
servers
.
Χρήσιμη πληροφορία:
Η
Microsoft
διορθώνει τα zero-day σφάλματα του
Exchange
Σύμφωνα με νέα
δεδομένα
της
Palo Alto
Networks
, δεκάδες χιλιάδες Micrοsoft
Exchange
servers
έχουν ενημερωθεί τις τελευταίες τρεις ημέρες. Ωστόσο, η
εταιρεία
υποστηρίζει ότι
εξακολουθούν να υπάρχουν περίπου 80.000
servers
που δεν έχουν εφαρμόσει τις πρόσφατες
ενημερώσεις
ασφαλείας
.
Όλοι οι οργανισμοί θα πρέπει να εφαρμόσουν τα patches το συντομότερο δυνατό για να μην πέσουν
θύματα
του DearCry
ransomware
αλλά κι άλλων επιθέσεων.
Πηγή: Bleeping Computer
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.