Nowy ransomware zaatakował serwery Microsoft Exchange

Cyberprzestępcy zwiększyli swoją aktywność w zakresie skanowania serwerów pocztowych Microsoft Exchange. Hakerzy wykorzystują luki ProxyShell istniejące w zabezpieczeniach Microsoft Exchange.

Mimo próby załatania luk przez specjalistów Microsoftu, cyberprzestępcom udaje się nadal wykorzystywać błędy w oprogramowaniu.

Na czym polega ich działanie? Używają luk ProxyShell do skanowania i hakowania serwerów Microsoft Exchange. Za pomocą powłok internetowych instalują backdoora odpowiedzialnego za pobranie szkodliwego ładunku.

LockFile - nowy ransomware

„Właśnie w ten sposób dystrybuowany jest nowy ransomware znany jako LockFile, który wykorzystuje luki Microsoft Exchange ProxyShell i Windows PetitPotam do przejmowania domen Windowsa i szyfrowania urządzeń” – twierdzi Kevin Beaumont, badacz bezpieczeństwa.

LockFile pojawił się w lipcu i zażądał okupu w zamian za odszyfrowanie danych. Wielce prawdopodobne, że ransomware zajmuje również znaczną część zasobów systemowych komputera, a w konsekwencji powoduje także i jego zawieszenie.

„W związku z tym, że LockFile wykorzystuje zarówno luki Microsoft Exchange ProxyShell, jak i Windows PetitPotam NTLM Relay, administratorzy Windows muszą zainstalować najnowsze aktualizacje. Nieco bardziej kłopotliwe są ataki Windows PetitPotam, ponieważ w tym przypadku aktualizacja zabezpieczeń Microsoftu jest niekompletna. Dlatego warto użyć nieoficjalnej poprawki lub zastosować filtry NETSH RPC, które blokują dostęp do podatnych funkcji w interfejsie API MS-EFSRPC” – wyjaśnia Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań antywirusowych.

Na podst. informacji prasowej

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.