Black Kingdom Ransomware macht Jagd auf ungepatchte Microsoft Exchange Server

Cyber Security News

Mehr als eine Woche, nachdem Microsoft ein Ein-Klick-Minderungs-Tool zur Entschärfung von Cyberangriffen auf lokale Exchange-Server veröffentlicht hat, gab das Unternehmen bekannt, dass Patches für 92 % aller Server mit Internetanschluss, die von den ProxyLogon-Schwachstellen betroffen sind, bereitgestellt wurden.

Diese Entwicklung, die eine Verbesserung von 43 % gegenüber der Vorwoche darstellt, bildet den Abschluss eines Wirbelsturms von Spionage- und Malware-Kampagnen, von denen Tausende von Unternehmen weltweit betroffen waren, wobei bis zu 10 APT-Gruppen (Advanced Persistent Threats) opportunistisch schnell vorgingen, um die Bugs auszunutzen.

Laut Telemetriedaten von RiskIQ sind etwa 29.966 Instanzen von Microsoft Exchange-Servern noch immer Angriffen ausgesetzt, ein Rückgang gegenüber 92.072 am 10. März.

Während Exchange-Server bereits vor dem Patch von Microsoft am 2. März von mehreren staatlich unterstützten Hackergruppen mit chinesischer Beteiligung angegriffen wurden, hat die Veröffentlichung von öffentlichen Proof-of-Concept-Exploits eine Welle von Infektionen ausgelöst und die Tür für eskalierende Angriffe wie Ransomware und Hijacking-Web-Shells geöffnet, die auf ungepatchten Microsoft Exchange-Servern platziert wurden, um Kryptominer und andere Malware zu verbreiten.

[Blocked Image: https://thehackernews.com/images/-EnfL8WgZPL0/YFx7NGkFTpI/AAAAAAAACGI/z-2NmI5gAdc04aOCj5AaWPVPpU7VMUJYwCLcBGAsYHQ/s0/ms.jpg]

“Um die Sache noch schlimmer zu machen, werden Proof-of-Concept-Skripte für automatisierte Angriffe öffentlich zugänglich gemacht, die es selbst ungeschulten Angreifern ermöglichen, schnell die Fernkontrolle über einen verwundbaren Microsoft Exchange Server zu erlangen”, schrieb die Cybersecurity-Firma F-Secure letzte Woche in einem Bericht.

In den Wochen seit der Veröffentlichung der ersten Patches durch Microsoft wurden mindestens zwei verschiedene Ransomware-Stämme entdeckt, die die Schwachstellen ausnutzen, um “DearCry” und “Black Kingdom” zu installieren.

Die Analyse von “Black Kingdom” durch das Cybersecurity-Unternehmen Sophos beschreibt die Ransomware als “etwas rudimentär und dilettantisch in ihrer Zusammensetzung”, wobei die Angreifer den ProxyLogon-Fehler missbrauchen, um eine Web-Shell zu installieren, die einen PowerShell-Befehl ausgibt, der die Nutzlast der Ransomware herunterlädt, die Dateien verschlüsselt und ein Bitcoin-Lösegeld im Austausch für den privaten Schlüssel fordert.

Die Ransomware “Black Kingdom”, die auf ungepatchte Exchange-Server abzielt, weist alle Merkmale eines motivierten Skript-Kiddies auf”, sagt Mark Loman, Director of Engineering bei Sophos. “Die Verschlüsselungs-Tools und -Techniken sind unvollkommen, aber das Lösegeld von 10.000 $ in Bitcoin ist niedrig genug, um erfolgreich zu sein. Jede Bedrohung sollte ernst genommen werden, auch scheinbar minderwertige.”

Das Volumen der Angriffe noch vor der öffentlichen Offenlegung von ProxyLogon hat Experten dazu veranlasst, zu untersuchen, ob der Exploit im Dark Web geteilt oder verkauft wurde, oder ob ein Microsoft-Partner, mit dem das Unternehmen über sein Microsoft Active Protections Program (MAPP) Informationen über die Sicherheitslücken geteilt hat, diese entweder versehentlich oder absichtlich an andere Gruppen weitergegeben hat.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com