• ГлавнаяНовостиНовостиНовости, 202103Новости, 202103 → Хакеры шифруют данные клиентов Microsoft Exchange и требуют выкуп

      Хакеры шифруют данные клиентов Microsoft Exchange и требуют выкуп

      Опасения в том, что недавние уязвимости нулевого дня в Microsoft Exchange спровоцируют волну атак шифровальщиков, высказывались давно, и вот такой шифровальщик появился. Между тем, Microsoft удалила экспериментальный эксплойт к уязвимостям из GitHub, что привело к скандалу.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius:4px;transition:0.4s;}.buttons:hover {background-color:#4CAF50;color:white;box-shadow:0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor:pointer;}

Ждали и дождались

Появился первый шифровальщик, прицельно атакующий недавно раскрытые уязвимости в Microsoft Exchange. В частности, 2 марта 2021 г. Microsoft опубликовала внеочередные исправления для четырех багов нулевого дня, из которых наиболее опасной является CVE-2021-26855, также известная как ProxyLogon. К тому времени злоумышленники уже активно пользовались этими уязвимостями, что и потребовало принятия экстренных мер.

Опасения, что эти уязвимости могут использоваться для распространения шифровальщиков, высказывались с самого начала. Теперь это стало реальностью: с 9 марта в систему идентификации шифровальщиков ID-Ransomware начали загружать сэмплы нового вредоноса и прилагающиеся записки с требованием выкупа, обнаруженные на серверах Exchange.

Шифровальщик был идентифицирован как Ransom:Win32/DoejoCrypt.A или DearCry. Его загрузка на уязвимые серверы, по всей видимости, производилась вручную.

Шифровальщик Dearcry начал атаковать уязвимости в Microsoft Exchange

Как отмечается в материале издания Bleeping Computer, шифровальщик использует алгоритмы AES-256 + RSA-2048. Все зашифрованные файлы снабжаются расширением CRYPT, в самом начале содержимого каждого файла появляется слово DEARCRY! (с восклицательным знаком в конце). Как минимум у одной жертвы злоумышленники потребовали $16 тыс.

По данным компании Palo Alto Networks, за последние несколько дней обновления, исправляющие уязвимости, были установлены на несколько десятков тысяч серверов Exchange. К сожалению, существуют также другие десятки тысяч серверов — старых, которые не могут получить обновления напрямую.

В Palo Alto рекомендуют рассматривать любой необновленный сервер как заведомо скомпрометированный, пока не доказано обратное: между началом практических атак и выпуском патчей прошли не менее двух месяцев.

К настоящему времени известно о десятках тысяч организаций, в той или иной степени пострадавших от атак на Exchange, в их числе парламент Норвегии и Европейское банковское управление. Microsoft указала, что активнее всего уязвимости эксплуатирует группировка Hafnium, предположительно связанная с китайскими спецслужбами. Но и десятки киберпреступных группировок — Tick, LuckyMouse, Calypso, Tonto Team, Mikroceen, Winnt iGroup и др. — в настоящий момент продолжают охоту на уязвимые серверы Exchange.

Позаботились, спасибо

Дополнительный скандал разгорелся в середине марта 2021 г., когда стало известно, что вьетнамский эксперт по информационной безопасности Нгуен Чан (Nguyen Jang) опубликовал на GitHub код экспериментального эксплойта к уязвимости CVE-2021-26855 в Exchange, а администрация сервиса его моментально удалила, ссылаясь на то, что эксплойт представляет практическую угрозу для клиентов Microsoft.

GitHub принадлежит Microsoft. Другие репозитории, на которых Нгуен Чан разместил свой код, не стали предпринимать никаких мер против него. Решение руководства GitHub или Microsoft удалить код не вызвало никакого энтузиазма у других экспертов по безопасности, поскольку, во-первых, оно мало соотносится с правилами GitHub (другие PoC-эксплойты встречаются там в изобилии), а во-вторых, потому, что никакого собственно вредоносного содержания в коде Нгуена Чана нет.

Представители GitHub, однако, отступаться от своего решения не намерены: в качестве причины удаления кода они назвали тот факт, что речь идет о «недавно раскрытой и активно эксплуатируемой уязвимости».

Другие эксперты отметили, что код Чана работоспособен только при некоторых изменениях в нем. То есть, реальная опасность самого эксплойта не слишком высока.

«Озабоченность проблемой со стороны Microsoft понятна, но это совершенно не повод подавлять распространение информации и кода, который они, кстати, и не стали бы удалять, не касайся дело их собственных разработок, — указывает Алексей Водясов, технический директор компании SEC Consult Services. — Более того, для той же уязвимости на GitHub опубликованы и другие PoC-эксплойты, и их удалять не стали. Почему санкциям подвергся код вьетнамского эксперта, непонятно. В любом случае, правила GitHub не запрещают размещать подобные вещи в его репозиториях, а произвольное удаление под каким бы то ни было благовидным предлогом весьма негативно сказываются на взаимоотношениях между экспертным сообществом и Microsoft».

Flash окончательно изгонят из Windows. Пути назад больше нет

Microsoft выпустит обязательное крупное обновление 21H1 для Windows 10, которое принудительно удалит с компьютеров Flash Player. Отказаться от установки патчей нельзя – в системе отключена возможность блокировки автоматического обновления....

IDC: в 2020 году рост российского ИТ-рынка составил 14%

19:08 03.05.2021 |-nbsp;-nbsp; 474 ...

Стартап экс-замминистра связи создаст электротакси вместе с Uber

Uber и компания Arrival, созданная экс-замминистра связи Денисом Свердловым, разработают электротакси для пассажирских перевозок. Автомобиль будет создан с учетом потребностей водителей, проводящих большую часть жизни за рулем, но и про комфорт пасса...

«Яндекс» договорился о покупке банка

20:53 29.04.2021 |-nbsp;-nbsp; 2189 ...

Легендарная Yahoo продается за бесценок

Телеком-гигант Verizon продает пионеров американского интернета Yahoo и AOL за $5 млрд. Их он купил в 2017 г. и 2015 г. соответственно в сумме более чем за $9 млрд, и в итоге он продает их на $4,1 млрд дешевле. Прибыли эти компании ему не принесли – ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:1px auto;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:20px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}/*Карта сайта - свернуть/развернуть: ВСЕ - пока не все работает#checkbox_menu_all:checked + label + .cd-accordion-menu li ul{display:inline;}#checkbox_menu_all:checked + label + .cd-accordion-menu{display:none;}#checkbox_menu_all:checked + label + .cd-accordion-menu + .cd-accordion-menu_ya-share2{display:none;}*/@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202103Новости, 202103 → Хакеры шифруют данные клиентов Microsoft Exchange и требуют выкуп