Black Kingdom Ransomware Hunting Unpatched servery Microsoft Exchange

Viac ako týždeň po tom, čo spoločnosť Microsoft vydala nástroj na zmiernenie kybernetických útokov zameraných na lokálne servery Exchange na jedno kliknutie, spoločnosť zverejnila, že opravy boli aplikované na 92 ​​% všetkých serverov s prístupom na internet ovplyvnených zraniteľnosťami ProxyLogon.

Tento vývoj, 43% zlepšenie oproti predchádzajúcemu týždňu, zavŕšil smršť špionážnych a malvérových kampaní, ktoré zasiahli tisíce spoločností na celom svete, pričom až 10 skupín pokročilých perzistentných hrozieb (APT) sa oportunisticky rýchlo snažilo využiť chyby.

Podľa telemetrických údajov z RiskIQ je približne 29 966 inštancií serverov Microsoft Exchange stále vystavených útokom, čo je pokles z 92 072 z 10. marca.

Zatiaľ čo servery Exchange boli pred marcovou opravou spoločnosti Microsoft napadnuté viacerými hackerskými skupinami, ktoré sú sponzorované štátom a ktoré sú prepojené s Čínou. 2, zverejnenie verejných overovacích exploitov rozdúchalo šialenstvo infekcií a otvorilo dvere eskalujúcim útokom, ako je ransomvér a únosy webových shellov umiestnených na neoplatených serveroch Microsoft Exchange s cieľom doručiť kryptomíny a iný malvér.

„Aby toho nebolo málo, skripty pre automatizované útoky na overenie koncepcie sa sprístupňujú verejnosti, čo umožňuje aj nekvalifikovaným útočníkom rýchlo získať vzdialenú kontrolu nad zraniteľným serverom Microsoft Exchange,“ uviedla firma F-Secure zaoberajúca sa kybernetickou bezpečnosťou. až minulý týždeň.

Počas týždňov, odkedy Microsoft prvýkrát vydal svoje záplaty, boli objavené najmenej dva rôzne kmene ransomvéru, ktoré využívajú chyby na inštaláciu „DearCry“ a „Black Kingdom“.

Analýza spoločnosti Sophos, ktorá sa zaoberá kybernetickou bezpečnosťou, Black Kingdom vykresľuje ransomvér ako „trochu rudimentárny a amatérsky v jeho zložení“, pričom útočníci zneužívajú chybu ProxyLogon na nasadenie webového shellu, využívajúc ho na vydanie príkazu PowerShell, ktorý stiahne užitočnú časť ransomvéru, ktorá zašifruje. súbory a požaduje bitcoinové výkupné výmenou za súkromný kľúč.

„Black Kingdom ransomvér zameraný na neopravené servery Exchange má všetky znaky toho, že ho vytvoril motivovaný scenárista,“ povedal Mark Loman, riaditeľ inžinierstva spoločnosti Sophos. “Šifrovacie nástroje a techniky sú nedokonalé, ale výkupné 10 000 dolárov v bitcoine je dostatočne nízke na to, aby bolo úspešné. Každú hrozbu treba brať vážne, dokonca aj tú zdanlivo nekvalitnú.”

Množstvo útokov ešte pred zverejnením ProxyLogon podnietilo expertov, aby preskúmali, či exploit nebol zdieľaný alebo predaný na Dark Webe, alebo partnerovi Microsoftu, s ktorým spoločnosť zdieľala informácie o zraniteľnostiach prostredníctvom svojho programu Microsoft Active Protections Program (MAPP ), či už náhodne alebo účelovo unikli iným skupinám.