使用Microsoft Exchange的组织现在有一个新的安全问题:从未ransomware被安装在服务器已经被中国国家支持的黑客。
微软报道周四晚间ransomware部署的新家庭,说它被部署在最初的妥协的服务器。微软的新家庭的名字是赎金:Win32 / DoejoCrypt.A。更常见的名字是DearCry。
我们发现,现在正在使用的ransomware阻塞一个新的家庭后的初始妥协应用补丁的本地交换服务器。微软防止这种威胁被称为赎金:Win32 / DoejoCrypt。一个,也是DearCry。
——微软安全智能(@MsftSecIntel)2021年3月12日,
盗用了铪
安全公司Kryptos逻辑说周五下午,发现后感染ransomware Hafnium-compromised交换服务器。Kryptos逻辑安全研究员马库斯哈钦斯告诉Ars ransomware DearCry。
“我们刚刚发现6970暴露网站管理权限由演员公开暴露和被利用交换的弱点,“Kryptos逻辑说。“这些贝壳被用于部署ransomware。“网站管理权限是后门,允许攻击者使用一个基于浏览器的接口,运行命令并执行恶意代码感染的服务器上。
我们刚刚发现了6970暴露网站管理权限由演员公开暴露和被利用交换的脆弱性。这些贝壳被用于部署ransomware。如果你签署的(https://t.co/caXU7rqHaI你可以检查你不受影响pic.twitter.com/DjeM59oIm2
——Kryptos逻辑(@kryptoslogic)2021年3月12日,
任何人谁知道URL其中一个公共网站管理权限可以完全控制了服务器。DearCry黑客利用这些壳ransomware部署。网站管理权限最初安装铪,微软这个名字给演员操作从中国政府的威胁。
哈钦斯说,袭击是“人类操作”,意思是一个黑客手动安装ransomware一个Exchange服务器。并不是所有的受到DearCry近7000台服务器。
“基本上,我们开始看到犯罪演员使用贝壳留下的铪立足网络,”哈钦斯解释说。
部署ransomware。安全专家说,这是不可避免的,强调了对正在进行的一个关键方面应对ProxyLogon安全服务器利用。是不够简单安装补丁。没有留下删除网站管理权限,服务器对入侵保持开放的心态,通过最初安装的黑客后门或由其他的黑客找出如何获得它们。
DearCry是知之甚少。安全公司Sophos说,它是基于公钥密码体制,公共密钥安装ransomware嵌入到文件。允许文件进行加密,而不需要先连接到一个指挥和控制服务器。解密数据,受害者必须获得私钥只有攻击者知道。
你需要知道什么# DearCry由马克鲁曼(@markloman)主任,工程技术办公室,Sophos(线程):
- SophosLabs (@SophosLabs)2021年3月12日,
从一个encryption-behavior来看,DearCry Sophos ransomware专家称之为“复制”ransomware。
1/9
最早发现DearCry马克Gillespie,安全专家经营服务,帮助研究人员识别恶意软件菌株。周四,他报道周二开始,他开始接受查询从交换服务器在美国,加拿大,和澳大利亚的恶意软件的字符串“DEARCRY。”
#交换服务器可能受# Ransomware
——迈克尔·吉莱斯皮(@demonslay335)2021年3月11日,
ID Ransomware突然群提交“。地下室”和“DEARCRY filemarker !”从ip交换服务器我们走来,CA,非盟在快速浏览。pic.twitter.com/wPCu2v6kVl
他后来发现用户论坛有人发帖哔哔声电脑上说ransomware被安装在服务器第一次被铪剥削。哔哔声电脑很快证实了直觉。
约翰•Hultquist安全公司Mandiant副总裁说,借黑客安装网站管理权限可以更快和更高效的手段比利用恶意软件在应用补丁服务器上部署ProxyLogon漏洞。正如已经提到,即使服务器打补丁,ransomware运营商仍然可以妥协的机器当网站管理权限没有被移除。
“我们期待更多的剥削ransomware交换漏洞的演员在短期内,“Hultquist在一封电子邮件中写道。“尽管许多应用补丁的组织可能是利用网络间谍演员、刑事ransomware操作可能会造成更大的风险,因为他们破坏组织,甚至敲诈受害者通过释放被偷走的邮件。”
美国东部时间下午7:40分更新:这篇文章更新删除“7000”的标题,表明不是所有的人都被感染了ransomware。
92年读者评论
ransomware帮派不利用ProxyLogon漏洞。该团伙劫持服务器已经被铪使用原始的利用。
我想今年2021年可以通过电子感染传播。
哦,男孩。等不及了。/秒
我想今年2021年可以通过电子感染传播。
哦,男孩。等不及了。/秒
这是新的吗? ?
承诺100美元或更多的服务器会自动跳出你的经理上周五下午的会议请求。(编辑-这一层卖完了)
编辑2:承诺200美元或更多的服务器会自动跳出你的经理要求周一早上的会议。早些时候加津贴。(编辑2 -这一层卖完了)
编辑3:新的目标——发送小的电刑延伸到你的经理通过鼠标/键盘每当你叫自动完成在行为调节”到“字段,这样会导致你的经理独自离开你。(未验证原型)。
编辑4:哇,这真的炸毁,我们不知道有多少人会感兴趣的这些特性,我们做一个全新的层次。承诺2000美元,您就会得到所有的好处+一只青蛙纹上你的名字以及软件的标志和一件t恤,大小比青蛙可以穿但可能太小。我们可能不会花的所有承诺的钱和我们的时间在尝试如何基因工程师青蛙自己种植的纹身,而不是从事的主要项目,但没有承诺。天空的极限,对吧?
最后一次编辑Defenestrar在2021年3月12日,星期五下午造成车厢
如果你不能管理交流,就停止。你不需要牢记这房子。如果你没有纠正这个现在,请搬到Office 365(或任何其他服务,我认为谷歌工作区是一个坚实的选择)。
每个人都说它太很快发布POC的其他线程。这是证明你错了。精灵的瓶子。提供虚假希望是假的希望。
如果你不能管理交流,就停止。你不需要牢记这房子。如果你没有纠正这个现在,请搬到Office 365(或任何其他服务,我认为谷歌工作区是一个坚实的选择)。
每个人都说它太很快发布POC的其他线程。这是证明你错了。精灵的瓶子。提供虚假希望是假的希望。
非常感谢。
我知道有很多疑虑将数据在云中,但我知道我的公司可能会受到的冲击非常困难,如果我们继续保持我们的内部电子邮件,而不是迁移Office 365的一切。除非你可以付高价顶尖人才保持一切修补和更新,你可能不应该运行内部这样的事情。
我想今年2021年可以通过电子感染传播。
哦,男孩。等不及了。/秒
这是新的吗? ?
在这种规模的?是的,这是新的。
最后一次编辑charliebird在2021年3月13日,坐47
承诺100美元或更多的服务器会自动跳出你的经理上周五下午的会议请求。(编辑-这一层卖完了)
编辑2:承诺200美元或更多的服务器会自动跳出你的经理要求周一早上的会议。早些时候加津贴。(编辑2 -这一层卖完了)
编辑3:新的目标——发送小的电刑延伸到你的经理通过鼠标/键盘每当你叫自动完成在行为调节”到“字段,这样会导致你的经理独自离开你。(未验证原型)。
编辑4:哇,这真的炸毁,我们不知道有多少人会感兴趣的这些特性,我们做一个全新的层次。承诺2000美元,您就会得到所有的好处+一只青蛙纹上你的名字以及软件的标志和一件t恤,大小比青蛙可以穿但可能太小。我们可能不会花的所有承诺的钱和我们的时间在尝试如何基因工程师青蛙自己种植的纹身,而不是从事的主要项目,但没有承诺。天空的极限,对吧?
现在停止,克里斯·罗伯茨。这不是有趣的第一次。
老实说,我不知道,如果互联网是会进化的西部现在变得更像文明社会,明目张胆的刑事诉讼已经至少体面的被惩罚的可能性和限制。
老实说,我不知道,如果互联网是会进化的西部现在变得更像文明社会,明目张胆的刑事诉讼已经至少体面的被惩罚的可能性和限制。
类似的罪行在现实世界中也会很大程度上未受惩罚。罪犯撇油器安装在自动取款机和PoS终端频繁离开没有任何问题。是常见的小群体(甚至只是一个人)通过一个区域,一群扫了一眼,然后一两个星期后离开。他们不要让她的老公知道,因为没有人知道他们是谁,并且经常警察可以懒得调查。
人们从略读使用克隆借记卡和信用卡经常工作在一个类似的基础上,不断地从地区购买尽可能多的可替代的东西可以用卡之前取消。他们不会呆一天或两天以上任何一个领域,以避免被抓住。警方将让你提交一份报告,如果你需要,你的信用卡公司或银行,但他们很少尝试调查这样的事情。太硬了,罪犯早已不复存在,他们有更好的事情要做。(这是他们的心态,不是说我同意。)
关键在于不要太贪婪,太大或太大目标。执法只有这么多时间调查的事情。他们更喜欢用它来更大的犯罪环和更严重的犯罪。
这和一些研究人员正在消除所有的现金,并迫使的独家使用的在线金融经济的方法。
他们声称它将防止犯罪分子利用物理资金裙子税收和监管法律。
看到这是要去哪里?
微软停止使用驼峰式大小写以他们的名义在1980年代,为什么你还用它吗?
老实说,我不知道,如果互联网是会进化的西部现在变得更像文明社会,明目张胆的刑事诉讼已经至少体面的被惩罚的可能性和限制。
老实说,我等待Tessier-Ashpool AI部门被攻击的原因。这是当乐趣开始。
实际上交换用户被ransomware妥协没有/不担心proxylogin。如果他们已经得到解决或减轻,他们不会得到ransomware ....用这种方法
我想今年2021年可以通过电子感染传播。
哦,男孩。等不及了。/秒
这是新的吗? ?
在这种规模的?是的,这是新的。
不。监狱在2003年上半年75000感染了Microsoft SQL服务器。
受感染的服务器立即开始向其他IP地址寻求蠕虫病毒的传播,产生如此多的交通路由器和互联网放缓了下来。
>蠕虫早期开始注意到2003年1月25日,因为它减缓全球系统。经济放缓是由无数的崩溃路由器的负担下极高的轰炸交通从受感染的服务器。
https://en.wikipedia.org/wiki/SQL_Slammer
导火线感染Windows安装,2500万被感染的机器。
最后一次编辑BullBearMS在2021年3月12日星期五39点
如果你不能管理交流,就停止。你不需要牢记这房子。如果你没有纠正这个现在,请搬到Office 365(或任何其他服务,我认为谷歌工作区是一个坚实的选择)。
每个人都说它太很快发布POC的其他线程。这是证明你错了。精灵的瓶子。提供虚假希望是假的希望。
是的。上周我真的有一个客户告诉我,他们不想补丁交换电子邮件服务器因为他们没有空间停机时间。
我很好,告诉他们这个问题的严重程度的交流环境,他们还说他们愿意冒这个险。
所以他们签署了它。猜猜发生三天后,纽约地区的小型医疗设备公司吗?
我完全赞成鼓励云SaaS / PaaS / IaaS在适当的地方。但微软刚刚遭受Solarwinds砍不到6个月前,我们仍然看到的影响,包括可能利用。
受害者归咎于这是十分愚蠢的。信息安全在我们行业是一个shitshow,行动比你和指责的人丢失的森林树木受到打击。
幸运的是我们没有邮箱,这是只存档和管理框混合部署。
我们只是关掉,慢慢通过补救工作。
我感到真的很抱歉所有的企业用自己的小部署还没有意识到他们将要或已经妥协。
我们非常生气因为我们邮件支持公司周四要求他们如果紧急补丁需要被应用到我们的环境和他们坐在它。
道具的工程师在我们团队决定周六晚上寻找妥协文件(他的足球队获得了那天晚上,所以他没有心情看电视当微软公报打他的注意
我们很幸运,幸运的是能够立即关掉该死的东西。但是并不是每个人都那么幸运。
承诺100美元或更多的服务器会自动跳出你的经理上周五下午的会议请求。(编辑-这一层卖完了)
编辑2:承诺200美元或更多的服务器会自动跳出你的经理要求周一早上的会议。早些时候加津贴。(编辑2 -这一层卖完了)
编辑3:新的目标——发送小的电刑延伸到你的经理通过鼠标/键盘每当你叫自动完成在行为调节”到“字段,这样会导致你的经理独自离开你。(未验证原型)。
编辑4:哇,这真的炸毁,我们不知道有多少人会感兴趣的这些特性,我们做一个全新的层次。承诺2000美元,您就会得到所有的好处+一只青蛙纹上你的名字以及软件的标志和一件t恤,大小比青蛙可以穿但可能太小。我们可能不会花的所有承诺的钱和我们的时间在尝试如何基因工程师青蛙自己种植的纹身,而不是从事的主要项目,但没有承诺。天空的极限,对吧?
现在停止,克里斯·罗伯茨。这不是有趣的第一次。
你只是提醒我,明星公民仍然是一个的事情被承诺……现在直到不久明星公民永远的毁灭公爵。
这和一些研究人员正在消除所有的现金,并迫使的独家使用的在线金融经济的方法。
他们声称它将防止犯罪分子利用物理资金裙子税收和监管法律。
看到这是要去哪里?
拜登的国家安全机构政府预计将名字背后的民族/国家的攻击。谣言是,微软是正确的。
国家做这种事会面临一些非常严重的制裁,所以印度或其他名义盟友这样做不太可能。它不会花很多时间在真相出来了。
此外,简单的逻辑根据当前地缘政治环境指向中国,俄罗斯或附属国的凶手之一。中国法的尖叫。这不是火箭科学。科技,总有痕迹这样或那样的方式。而不是依靠毫无根据的猜测,也许我们应该等待官方消息。
毕竟,我们现在有一个政府的个人晋升不感兴趣,但在做它的工作。
ransomware帮派不利用ProxyLogon漏洞。该团伙劫持服务器已经被铪使用原始的利用。
对不起,我想我早些时候comprehension-challenged。我想知道这些是已知先前感染或如果他们被新破解然后救赎。我回去重读,它清楚地规定了他们先前被Halfnium利用。< facepalm指>谢谢你的澄清!
如果你不能管理交流,就停止。你不需要牢记这房子。如果你没有纠正这个现在,请搬到Office 365(或任何其他服务,我认为谷歌工作区是一个坚实的选择)。
每个人都说它太很快发布POC的其他线程。这是证明你错了。精灵的瓶子。提供虚假希望是假的希望。
非常感谢。
我知道有很多疑虑将数据在云中,但我知道我的公司可能会受到的冲击非常困难,如果我们继续保持我们的内部电子邮件,而不是迁移Office 365的一切。除非你可以付高价顶尖人才保持一切修补和更新,你可能不应该运行内部这样的事情。
我为我的小企业客户基于管理sbs交换服务器大约十年了。我一直在修补和配置的麻烦,但发现墙上的写作方法。2015年我退休前的最后一件事是迁移Office 365的内部交流。
ransomware帮派不利用ProxyLogon漏洞。该团伙劫持服务器已经被铪使用原始的利用。
PSA:保持你的僵尸网络修补-不要让scriptkiddies ransomware安装在它!
但你仍然处理“垃圾邮件”!
我不认为微软在市场营销方面需要做任何事情。希望公司越来越烧目前会意识到的日子,中小企业运行自己的邮件服务器已经一去不复返。不是一个扣篮,公司决定迁移到云将选择Office 365——尽管它不会是一个糟糕的选择,有很多其他的选择。
我不认为微软在市场营销方面需要做任何事情。希望公司越来越烧目前会意识到的日子,中小企业运行自己的邮件服务器已经一去不复返。不是一个扣篮,公司决定迁移到云将选择Office 365——尽管它不会是一个糟糕的选择,有很多其他的选择。
好主意如果你在欧洲(因此在GDPR)和处理敏感数据……使用云我们只是要求得到罚款后最新CJEU决定无效的歪曲“隐私保护”。
的dreckiness封锁造成的我,没有办法将我处理这样的爆发现在如果我还是全职工作。
…这意味着他们不理解风险。
看起来疯狂的人不理解风险,签署接受风险。
地球上公司会故意同意极高的总风险,完全妥协时,阐明他们? !这并不是一个理论的机会,这是已经积极利用新闻第一次打破了!
我最喜欢的三部曲,谢谢参考!我喜欢看一些经典的吉布森出现
输入错误。改变第一”,“说”?
我不认为微软在市场营销方面需要做任何事情。希望公司越来越烧目前会意识到的日子,中小企业运行自己的邮件服务器已经一去不复返。不是一个扣篮,公司决定迁移到云将选择Office 365——尽管它不会是一个糟糕的选择,有很多其他的选择。
好主意如果你在欧洲(因此在GDPR)和处理敏感数据……使用云我们只是要求得到罚款后最新CJEU决定无效的歪曲“隐私保护”。
所以你说的是有一个大的市场欧盟托管只是在等人利用?
你必须登录或创建一个帐户置评。