Microsoft Exchange Exploits ebnen den Weg für Ransomware

Cyber Security News

Während sich die Angriffe stündlich verdoppeln, nutzen Hacker verwundbare Microsoft Exchange-Server aus und installieren eine neue Familie von Ransomware namens DearCry.

Cyberkriminelle nutzen jetzt kompromittierte Microsoft Exchange-Server als Stützpunkt, um eine neue Ransomware-Familie namens DearCry zu installieren, hat Microsoft gewarnt.

Die Ransomware ist die neueste Bedrohung, die anfällige Exchange-Server belagert. Sie tauchte auf, kurz nachdem Microsoft Anfang März Notfall-Patches für vier Microsoft Exchange-Schwachstellen veröffentlicht hatte. Die Schwachstellen können miteinander verkettet werden, um einen RCE-Exploit (Remote Code Execution) vor der Authentifizierung zu erstellen – was bedeutet, dass Angreifer Server übernehmen können, ohne gültige Anmeldedaten zu kennen.

Die Schwachstellen geben Angreifern die Möglichkeit, eine Webshell für die weitere Ausnutzung innerhalb der Umgebung zu installieren – und jetzt sagen Forscher, dass Angreifer den neuen Ransomware-Stamm (alias Ransom:Win32/DoejoCrypt.A) als Teil ihrer Post-Exploitation-Aktivität auf ungepatchte Server herunterladen.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

“Wir haben eine neue Ransomware-Familie entdeckt und blockieren sie jetzt, die nach einer anfänglichen Kompromittierung von ungepatchten Exchange-Servern vor Ort eingesetzt wird”, teilte Microsoft am Donnerstag auf Twitter mit.

DearCry Ransomware

DearCry wurde zum ersten Mal auf dem Radar des Infosec-Bereichs sichtbar, nachdem der Ransomware-Experte Michael Gillespie am Donnerstag sagte, dass er einen “plötzlichen Schwarm” von Einsendungen an seine Website zur Identifizierung von Ransomware, ID-Ransomware, beobachtet hat.

Die Ransomware verwendet die Erweiterung “.CRYPT”, wenn sie Dateien verschlüsselt, sowie einen Dateimarker “DEARCRY!” in der Zeichenfolge für jede verschlüsselte Datei.

Microsoft bestätigte später, dass die Ransomware von Angreifern gestartet wurde, die die vier Microsoft Exchange-Schwachstellen nutzen, die zusammen als ProxyLogon bekannt sind und als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 verfolgt werden.

🚨 #Exchange Server möglicherweise von #Ransomware betroffen 🚨 ID Ransomware erhält plötzlichen Schwarm von Einsendungen mit “.CRYPT” und Dateimarker “DEARCRY!”, die von IPs von Exchange Servern aus US, CA, AU kommen, auf einen Blick. pic.twitter.com/wPCu2v6kVl

– Michael Gillespie (@demonslay335) March 11, 2021

Einem Bericht von BleepingComputer zufolge legt die Ransomware nach der ersten Infektion des Opfers eine Lösegeld-Notiz (genannt “readme.txt”) ab, die zwei E-Mail-Adressen der Bedrohungsakteure enthält und eine Lösegeldzahlung von 16.000 US-Dollar fordert.

In der Zwischenzeit sagte MalwareHunterTeam auf Twitter, dass Opfer von DearCry in Australien, Österreich, Kanada, Dänemark und den USA gesichtet wurden. Die Ransomware ist (noch?) nicht sehr weit verbreitet.” Bislang wurden am 9. März drei Samples der DearCry-Ransomware auf VirusTotal hochgeladen (die Hashes dazu finden Sie hier).

Microsoft Exchange-Angriffe verdoppeln sich stündlich

Die Zahl der Angriffe auf die kürzlich gepatchten Exchange-Schwachstellen steigt weiterhin sprunghaft an. Forscher warnten diese Woche, dass die Schwachstellen von mindestens 10 verschiedenen APT-Gruppen (Advanced Persistent Threats) angegriffen werden, die alle darauf aus sind, E-Mail-Server auf der ganzen Welt zu kompromittieren.

Neue Untersuchungen von Check Point Software besagen, dass sich allein in den letzten 24 Stunden die Zahl der Angriffsversuche auf Unternehmen alle zwei bis drei Stunden verdoppelt hat.

Die Forscher gaben an, Hunderte von Exploit-Versuchen gegen Organisationen weltweit gesehen zu haben – die am meisten angegriffenen Branchen waren Regierung und Militär (17 Prozent aller Exploit-Versuche), Fertigung (14 Prozent) und Banken (11 Prozent).

Die Forscher warnten, dass die Angriffe weitergehen werden – und forderten Unternehmen, die dies noch nicht getan haben, auf, Patches zu installieren.

“Seit den kürzlich bekannt gewordenen Schwachstellen auf Microsoft Exchange-Servern ist ein regelrechter Wettlauf zwischen Hackern und Sicherheitsexperten entbrannt”, so die Forscher von Check Point. “Weltweit gehen Experten mit massiven Präventivmaßnahmen gegen Hacker vor, die tagtäglich daran arbeiten, einen Exploit zu entwickeln, der die Remote-Code-Execution-Schwachstellen in Microsoft Exchange erfolgreich ausnutzen kann.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:

  • 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!)
  • 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com