• Pierwsza strona
  • O nas
  • Polityka prywatności

Ochroniarz Danych

  • Ochrona Danych
  • Wirus Profilaktyka
  • Backup Danych

DearCry: ataki ransomware na serwer Exchange

July 16,2022 By Majewski Tomasz Leave a Comment

Share
Share on Facebook
Tweet
Tweet this
Pin
Pin this
0 Share
Share on LinkedIn0 shares on LinkedIn

Podążając śladami hakerów hafnu, pierwsze grupy szkodliwego oprogramowania wykorzystują teraz niedawno odkryte luki w Microsoft Exchange.

2 marca firma Microsoft wydała aktualizacje zabezpieczeń dla programu Exchange Server, które usuwają kilka krytycznych luk w zabezpieczeniach. Luki 0-dniowe są wykorzystywane do ataków od stycznia. Microsoft obwinia za to chińską grupę hakerów o nazwie Hafnium. Inni przestępcy internetowi atakują teraz również podatne na ataki serwery Exchange, głównie losowo. Przemycają oprogramowanie ransomware DearCry, aby wyłudzić okup. Microsoft nosi wykryte złośliwe oprogramowanie pod nazwą „Ransom: Win32 / DoejoCrypt.A”, podczas gdy brytyjska firma zajmująca się bezpieczeństwem Sophos rozpoznaje je jako „Troj / Ransom-GFE”. Osoby atakujące wykorzystują te same luki Exchange, znane jako luki „ProxyLogon”, co grupa Hafnium. Pierwsza fala ataków hakerów hafnu nadal była skierowana głównie na cele w USA. Gdy tylko aktualizacje Microsoftu były dostępne, zostały one przeanalizowane przez inne grupy sprawców w celu napisania działających exploitów. Powstałe ataki były następnie wymierzone w instytucje w Europie, takie jak Europejski Urząd Nadzoru Bankowego (EBA). Nieco nowsze ataki ransomware można teraz zaobserwować na całym świecie. ➤ Najnowsze aktualizacje zabezpieczeń

Według Sophos, DearCry, podobnie jak WannaCry w tamtym czasie, jest rodzajem oprogramowania ransomware, które przechowuje zaszyfrowane kopie zaatakowanych plików, a następnie usuwa oryginalne pliki. Ponieważ zaszyfrowane pliki znajdują się w innym miejscu na nośniku danych niż oryginały, istnieje przynajmniej pewna szansa na zapisanie niezaszyfrowanych danych, o ile nie zostały one nadpisane. Niektóre inne oprogramowanie ransomware nadpisuje oryginalne pliki zaszyfrowanymi kopiami. Szyfrowanie używane przez DearCry opiera się na parze kluczy publicznych i prywatnych. Klucz publiczny jest używany do szyfrowania i jest częścią kodu ransomware, dzięki czemu złośliwe oprogramowanie nie musi kontaktować się ze statkiem macierzystym (serwerem C&C). Serwery Exchange zwykle zezwalają tylko usługom Exchange na dostęp do Internetu. Tajny klucz prywatny jest w posiadaniu sprawcy. Bez tego pliki nie mogą zostać odszyfrowane. W zeszłym tygodniu firma Microsoft wydała również bezpośrednie aktualizacje zabezpieczeń dla wersji programu Exchange, które nie są już obsługiwane jako takie. Ma to wpływ na długo nieaktualne aktualizacje zbiorcze (CU) dla Exchange Server 2013, 2016 i 2019. Dzięki temu administratorzy nie muszą instalować bieżącej aktualizacji zbiorczej, zanim będą mogli zainstalować poprawki chroniące przed lukami ProxyLogon. To wcale nie jest trywialne. Jednak te aktualizacje naprawiają tylko cztery luki w programie Exchange (CVE-2021-27065, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858), które zostały wykorzystane w atakach.

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

success!!!
Failed!!!

Primary Sidebar

Search

popularne artykuły

Nowy początek: Huawei Nova 9 i Nova 8i w Polsce

Nowy początek: Huawei Nova 9 i Nova 8i w Polsce

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Popularne informacje

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Adobe zamyka 23 krytyczne luki we Flash Playerze

Adobe zamyka 23 krytyczne luki we Flash Playerze

Najpopularniejsze artykuły

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Adobe zamyka 23 krytyczne luki we Flash Playerze

Adobe zamyka 23 krytyczne luki we Flash Playerze

Copyright © 2022 Ochroniarz Danych. All rights reserved.