使用微软Exchange的机构现在有了一个新的安全问题:从未见过的勒索软件被安装在已经被中国政府支持的黑客感染的服务器上。
微软报道周四晚,该公司发布了新的勒索软件部署系列,称它是在服务器遭遇最初的攻击后部署的。微软为这个新家族命名为Ransom:Win32/DoejoCrypt.A。更常见的名字是DearCry。
我们已经检测到并正在阻止一个新的勒索软件的使用,在未打补丁的本地Exchange服务器的初始妥协后。微软保护这种被称为勒索:Win32/DoejoCrypt的威胁。A,也叫DearCry。
-微软安全情报(@MsftSecIntel)2021年3月12日,
盗用了铪
安全公司Kryptos Logic说上周五下午,该公司表示,已检测到受铪影响的Exchange服务器后来感染了勒索软件。Kryptos Logic安全研究员Marcus Hutchins告诉Ars,勒索软件是DearCry。
Kryptos Logic表示:“我们刚刚发现了6970个公开暴露的webshell,它们是由利用Exchange漏洞的行为者放置的。”“这些炮弹被用来部署勒索软件。”webshell是后门,允许攻击者使用基于浏览器的界面在受感染的服务器上运行命令和执行恶意代码。
我们刚刚发现了6970个公开暴露的webshell,它们是由利用Exchange漏洞的参与者放置的。这些炮弹被用来部署勒索软件。如果您已签约Telltale (https://t.co/caXU7rqHaI)你可以检查你是否受到影响pic.twitter.com/DjeM59oIm2
- Kryptos Logic (@kryptoslogic)2021年3月12日,
任何知道这些公共webshell的URL的人都可以获得对受威胁服务器的完全控制。DearCry的黑客利用这些壳来部署他们的勒索软件。webshell最初是由Hafnium安装的,这个名字是微软给一个在中国境外活动的受政府支持的威胁行为者取的。
哈钦斯说,这些攻击是“人为操作的”,这意味着黑客每次在一台Exchange服务器上手动安装勒索软件。并非所有的近7000个服务器都受到了DearCry的攻击。
哈钦斯解释说:“基本上,我们开始看到犯罪分子利用铪留下的炮弹在网络中站稳脚跟。”
安全专家表示,部署勒索软件是不可避免的,这突显了对ProxyLogon利用的安全服务器的持续响应的一个关键方面。仅仅安装补丁是不够的。如果不清除遗留下来的webshell,服务器仍然容易受到入侵,要么是最初安装后门的黑客,要么是其他知道如何访问后门的黑客。
人们对DearCry知之甚少。安全公司Sophos说它基于一个公钥密码系统,公钥嵌入在安装勒索软件的文件中。这使得文件无需首先连接到命令和控制服务器就可以加密。要解密数据,受害者必须获得只有攻击者知道的私钥。
你需要知道的# DearCry马克·洛曼(@marklomanSophos工程技术办公室主任(一帖):
- SophosLabs (@SophosLabs)2021年3月12日,
从加密行为的角度来看,DearCry就是Sophos勒索软件专家所说的“复制”勒索软件。
1/9
马克·吉莱斯皮(Mark Gillespie)是第一批发现DearCry的人之一,他是一名安全专家,经营着一项帮助研究人员的服务识别恶意软件菌株.周四,他报道从周二开始,他开始收到来自美国、加拿大和澳大利亚Exchange服务器的恶意软件查询,查询字符串为“DEARCRY”。
#交换服务器可能被攻击# Ransomware
——迈克尔·吉莱斯皮(@demonslay335)2021年3月11日,
ID勒索软件正在获得突然蜂拥而至的提交“。CRYPT”和文件标记“DEARCRY!”来自来自美国、CA、AU的Exchange服务器的ip。pic.twitter.com/wPCu2v6kVl
他后来发现有人在用户论坛上发帖在哔哔电脑上说,勒索软件安装在最初被Hafnium利用的服务器上。哔哔声电脑很快证实了直觉.
安全公司曼迪昂特(Mandiant)的副总裁胡尔特奎斯特(John Hultquist)说,与利用ProxyLogon的漏洞相比,利用安装webshell的黑客在未打补丁的服务器上部署恶意软件,是一种更快、更有效的方式。正如前面提到的,即使服务器打了补丁,当webshell没有被移除时,勒索软件操作者仍然可以破坏机器。
Hultquist在一封电子邮件中写道:“我们预计,近期内勒索软件参与者会更多地利用交易所漏洞。”“尽管许多尚未打补丁的组织可能已经被网络间谍行为者利用,但犯罪勒索软件操作可能带来更大的风险,因为他们破坏组织,甚至通过发布窃取的电子邮件来敲诈受害者。”
更新时间:东部时间晚上7:40:这篇文章被更新了,从标题中删除了“7000人”,并明确表示并非所有人都感染了勒索软件。
你必须登录或创建帐户置评。