Dearcry Ransomware Targets易受攻击的Exchange服务器
Microsoft已确认,通过危险的Proxylogon漏洞为网络犯罪集团在尚未或无法应用建议补丁的人中归零,新的Ransomware将vistberable vistable visthies offerexmmic flassoders定位为危险的Proxylogon漏洞。
redmond通过推文表示,新的赎金软件赎金:win32 / doejocrypt.a或deakcry正在通过Exchange Server部署初始妥协。它说,正在接收自动更新的Microsoft Defender的用户不需要采取行动,但是在预级Exchange用户应该优先考虑它所提供的更新,更多信息在此处可用。
凭借越来越多的恶意演员在Proxylogon漏洞上打桩,赎金瓶帮派的到来只是一个时间问题,许多观察者已经预测这会发生这种情况。
根据BleepingComputer的说法,亲爱的 - 这似乎在本周早些时候浮出水面 - 似乎是一个合理的磨坊赎金软件,但显着似乎不包含缺陷,使受害者能够免费解密他们的数据。
Callum Roxan是F-Secure的威胁英特尔主管,说:“最新报告表明,瑞马软件威胁演员正在利用该漏洞,因此组织立即修补的必要条件。它很有可能暴露于互联网的任何未被划分的交换服务器都受到影响。“
Richard Hughes,安全服务提供商A&O Group的技术安全主管表示,Dearcry的出现并不令人惊讶。“糟糕的演员将花费他们所有的醒着时间来寻找漏洞的漏洞,在这种情况下,他们已经在盘子上递过一个,所以当然,他们不会浪费机会,”他说。
“赎金软件攻击是犯罪分子的财政收入的主要来源,需要小时间或技能执行,而组织继续支付这些赎金,则仍然如此。Proxylogin漏洞突出显示组织永远不满意,因为零天漏洞的性质是您今天可能有漏洞评估,并且仍然是利用明天发现的新漏洞的攻击的受害者仍然存在漏洞的受害者。“
与此同时,潜在受害者的数量越来越飙升,即使是修补努力加速。SPYSE的研究人员每周提供给计算机的新数据表明,在撰写本文时,它可能高达283,000,只有26%的危险装置修补。
检查点威胁情报经理Lotem Finkelstein表示,他看到尝试的Proxylogon漏洞的数量在过去24小时(3月11日3月11日)每隔两到三个小时(3月11日3月)单独 - 最受攻击的垂直是政府和军事机构,其次是制造业和金融服务。
鉴于漏洞的寿命,Finkelstein强调不仅仅是修补的重要性,而且强调了扫描网络的现场威胁并评估所有连接的资产。
“受损服务器可以启用未经授权的攻击者来提取公司电子邮件并以高权限在您的组织内执行恶意代码,”他说。
F-Secure战术防御部门的高级经理Calvin Gan补充说:“通过Proxylogon漏洞的攻击的增加也可能是因为昨天在GitHub中发布的概念证明[PoC]文件,这些文件被微软迅速取消。
“遭到攻击者在修补程序发布之前,已知零日零一天攻击,并且现在使用PoC公开提供,尽管具有一些代码错误,但肯定会有一些攻击者将通过其工具集发射攻击。“
Microsoft Exchange Server网络攻击时间表
3月3日:Microsoft释放紧急补丁以解决多个零日漏洞,指示Aron-remise Service的Exchange Server。
3月4日:美国CISA发布紧急指导,因为四个新披露的Microsoft交换脆弱性群体更清晰。
3月5日:Fireeye的强大追踪活动中的技术团队分析在Microsoft Exchange vertmormore的新披露漏洞而不是一个月前。
3月8日:微软表示,它看到了更高的交换服务器攻击,以及超越中国国家赞助的铪集团导信攻击的更多威胁演员。
3月9日:欧洲银行权限通过Microsoft Exchange Server的漏洞突破,但现在返回在线。
3月10日:微软的三月补丁周二更新下降在持续的交换攻击中。
3月11日:挪威的议会,在威胁团体资本化弱势Microsoft Exchange服务器上,挪威的议会在一年内遭受了第二个主要网络事件。