As tentativas de exploração do Exchange aumentam seis vezes devido à ação de ransomwares
O número de tentativas de exploração global visando servidores Microsoft Exchange vulneráveis aumentou seis vezes nos últimos dias, quando a Microsoft alertou sobre uma nova ameaça de ransomware aos sistemas comprometidos.
A Check Point Research tem monitorado a situação desde que a Microsoft lançou patches fora de banda para quatro bugs de dia zero em 3 de março.
Começaram a surgir relatórios de que um grupo apoiado pelo Estado chinês apelidado de Hafnium estava por trás de ataques em liberdade explorando as falhas. Em seguida, os ataques globais aumentaram maciçamente, com algumas estimativas fazendo 30.000 vítimas nos Estados Unidos e mais de 100.000 em todo o mundo.
A ESET disse que isso foi resultado do envolvimento de vários outros grupos APT.
Tendo dito anteriormente na sexta-feira que as tentativas de exploração em servidores Exchange estavam dobrando a cada poucas horas, a Check Point observou em uma atualização no domingo que elas aumentaram seis vezes nas últimas 72 horas.
Os EUA foram responsáveis por 21% destes, seguidos pelos Países Baixos (12%) e Turquia (12%), com governo e militar o setor mais atingido (27%), seguido por manufatura (22%) e fornecedores de software (9%) .
Também na sexta-feira, a Microsoft tweetou que detectou uma nova família de ransomware sendo implantada após o comprometimento inicial de servidores Exchange sem patch.
“A Microsoft protege contra esta ameaça conhecida como Ransom: Win32 / DoejoCrypt.A, e também como DearCry”, disse.
O vice-presidente de análise da Mandiant, John Hultquist, alertou que este poderia ser o início de uma enxurrada de atividades de exploração por parte dos agentes da ameaça de ransomware.
“Embora muitas das organizações ainda não corrigidas possam ter sido exploradas por agentes de espionagem cibernética, as operações criminosas de ransomware podem representar um risco maior, pois desorganizam as organizações e até extorquem as vítimas ao liberar e-mails roubados. Os operadores de ransomware podem monetizar seu acesso criptografando e-mails ou ameaçando vazá-los, uma tática que adotaram recentemente ”, explicou.
“Esse vetor de ataque pode ser particularmente atraente para operadores de ransomware porque é um meio especialmente eficiente de obter acesso de administrador de domínio. Esse acesso permite que eles implantem criptografia em toda a empresa. Nos casos em que as organizações não estão corrigidas, essas vulnerabilidades fornecerão aos criminosos um caminho mais rápido para o sucesso ”.
Hultquist observou que muitas das organizações mais vulneráveis serão pequenas e médias empresas ou governos estaduais e locais e organizações escolares com escassos recursos para mitigar o problema.