Novi ransomware napadi na Microsoft Exchange servere!

Microsoft je izdao upozorenje da hakeri koriste verziju ransomware-a pod nazivom DearCry da napadaju Exchange servere koji nisu patch-ovani i koji su kao takvi podložni ovim napadima.

Zato Microsoft upozorava sve Exchange korisnike da hitno primene sigurnosne emergency patch-eve koje je izdao prošle nedelje i kojima se reševaju kritični propusti na Exchange email serverima.

Da podsetimo, još 2. marta Microsoft je apelovao na korisnike da hirno instaliraju patch-eve, jer je postojao rizik da sajber-kriminalci i hakeri iskoriste propust u dolazećim nedeljama i mesecima. Smatra se da su ti napadi bili izvedeni od strane kineske hakerske grupe pod nazivom Hafnium. S tim u vezi security kompanija ESET je 10.03. prijavila da navodno najmanje 10 hakerskih grupa potpomognutih od strane Kine pokušavaju da iskoriste propust na Exchange serverima koji nisu patch-ovani.

Nakon toga sajber kriminalci su pokušali da lasniranjem DearCry-a instaliraju malware na kompromitovanim Exchange serverima. Ubrzo zatim Microsoft je objavio da je detektovao i blokirao napade, a zatim i napravio zaštitu protiv Ransom:Win32/DoejoCrypt.A, i DearCry malware-a.

Takođe, Microsoft je saopštio da korisnici koji već koriste Microsoft Defender koji koristi automatski update, ne moraju da preduzimaju nikakve akcije na instalciji patch-a.

Neki bagovi u Exchange Serveru 2013, Exchange Serveru 2016 i Exchange Serveru 2019 (Exchange Online nije pogođen ovim bagom), omogućavaju da ih iskoriste i uz pomoć web shell-a ukradu podatke i obezbede pristup serverima nakon što su oni prethodno bili kompromitovani. Web shell-ovi su male skripte koje obezbeđuju osnovni interfejs za udaljeni pristup kompromitovanom sistemu.

Kompromitovani serveri mogu da omoguće neautorizovanom napadaču da ekstrakuje sve korporativne email-ove i izvrši maliciozni kod unutar sistema napadnute organizacije i to sa visokim privilegijama.

Iz tog razloga Microsoft je izdao skriptu na GitHub-u koju administratori mogu da iskoriste da provere prisustvo web shell-ova na njihovim Exchange serverima. Takođe se preporučuje da se ova skripta pokrene nakon patch-ovanja sistema, kako bi administratori bili sigurni da je web shell ukonjen sa njihovog sistema.

Neki nezavisni istraživači su zabeležili pomenute napade u Kanadi, Danskoj, SAD, Australiji, Austriji, a napadi datiraju već od 9. marta, samo 7 dana nakon što je Microsoft izdao zvaničan apel da se svi Exchange serveri patch-uju što je pre moguće.

Kako je otkriveno, napadi se udvostručavaju na svaka dva-tri sata. Trenutno najtargetiranije industrije su vojna industrija, proizvodnja i finansijski sektor.

Preporuka za sve organizacije koje koriste Microsoft Exchange Server je da pokrenu Test-ProxyLogon.ps1 skript što je pre moguće, da bi utvrdili da li je i njihov sistem eventualno kompromitovan.