Exchange-Exploit-Versuche versechsfachen sich mit Ransomware

Cyber Security News

Die Zahl der weltweiten Exploit-Versuche, die auf anfällige Microsoft Exchange-Server abzielen, ist in den letzten Tagen um das Sechsfache gestiegen, da Microsoft vor einer neuen Ransomware-Bedrohung für kompromittierte Systeme warnt.

Check Point Research hat die Situation beobachtet, seit Microsoft am 3. März Out-of-Band-Patches für vier Zero-Day-Bugs veröffentlicht hat.

Es tauchten Berichte auf, dass eine vom chinesischen Staat unterstützte Gruppe namens Hafnium hinter Angriffen steckt, die die Schwachstellen ausnutzen. Dann nahmen die weltweiten Angriffe massiv zu, wobei einige Schätzungen von 30.000 Opfern in den USA und über 100.000 weltweit ausgehen.

Laut ESET war dies das Ergebnis der Beteiligung mehrerer anderer APT-Gruppen.

Nachdem Check Point bereits am Freitag mitgeteilt hatte, dass sich die Exploit-Versuche auf Exchange-Servern alle paar Stunden verdoppeln, stellte Check Point in einem Update am Sonntag fest, dass sie sich in den letzten 72 Stunden versechsfacht haben.

Auf die USA entfielen 21 % dieser Angriffe, gefolgt von den Niederlanden (12 %) und der Türkei (12 %). Der am stärksten betroffene Sektor waren Regierung und Militär (27 %), gefolgt von der Fertigungsindustrie (22 %) und Softwareanbietern (9 %).

Ebenfalls am Freitag twitterte Microsoft, dass es eine neue Ransomware-Familie entdeckt hat, die nach der anfänglichen Kompromittierung von ungepatchten Exchange-Servern eingesetzt wurde.

“Microsoft schützt vor dieser Bedrohung, die als Ransom:Win32/DoejoCrypt.A und auch als DearCry bekannt ist”, hieß es.

John Hultquist, Vizepräsident der Analyseabteilung bei Mandiant, warnte, dass dies der Beginn einer Flut von Ransomware-Bedrohungsaktivitäten sein könnte.

“Obwohl viele der noch ungepatchten Organisationen von Cyber-Spionage-Akteuren ausgenutzt werden könnten, stellen kriminelle Ransomware-Operationen ein größeres Risiko dar, da sie Organisationen stören und sogar Opfer erpressen, indem sie gestohlene E-Mails veröffentlichen. Ransomware-Betreiber können ihren Zugang monetarisieren, indem sie E-Mails verschlüsseln oder mit deren Veröffentlichung drohen – eine Taktik, die sie in letzter Zeit übernommen haben”, erklärte er.

“Dieser Angriffsvektor kann für Ransomware-Betreiber besonders attraktiv sein, weil er ein besonders effizientes Mittel ist, um Zugriff auf Domain-Administratoren zu erhalten. Dieser Zugang ermöglicht es ihnen, Verschlüsselung im gesamten Unternehmen einzusetzen. In Fällen, in denen Unternehmen nicht gepatcht sind, bieten diese Schwachstellen den Kriminellen einen schnelleren Weg zum Erfolg.”

Hultquist merkte an, dass viele der am meisten gefährdeten Organisationen KMUs oder staatliche und lokale Regierungs- und Schulorganisationen sein werden, die nur über geringe Ressourcen verfügen, um das Problem zu entschärfen.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com