Microsoft Exchange-servers doelwit van DearCry-ransomware

[Captain Kirk]

Criminelen gebruiken kwetsbaarheden in Exchange om zo de mailservers van organisaties met ransomware te infecteren, zo waarschuwt Microsoft. Aanvallers weten via kwetsbaarheden toegang tot Exchange-servers te krijgen en installeren vervolgens de ransomware. Microsoft maakte vorige week beveiligingsupdates voor de kwetsbaarheden beschikbaar, maar wereldwijd blijken nog vele tienduizenden servers ongepatcht te zijn.

Zo kunnen aanvallers de DearCry-ransomware verspreiden, die door Microsoft DoejoCrypt wordt genoemd. Volgens Phillip Misner van Microsoft gaat het om gerichte ransomware-aanvallen waarbij de aanvallers handmatig de aanval uitvoeren en ransomware op de servers van getroffen organisaties installeren. Ook verschillende beveiligingsonderzoekers laten op Twitter weten dat de Exchange-kwetsbaarheden worden gebruikt voor de verspreiding van ransomware.

Organisaties die de beveiligingsupdates hebben geïnstalleerd worden opgeroepen om toch hun servers op eventuele backdoors te controleren. Het is namelijk mogelijk dat aanvallers al voor het uitrollen van de patches toegang tot de servers hebben gekregen en zo een backdoor konden installeren. Het patchen van Exchange-servers zal deze backdoors niet verwijderen, waardoor aanvallers toegang tot de servers blijven houden. Microsoft Defender kan de DearCry-ransomwaren inmiddels herkennen en blokkeren.

 

bron: https://www.security.nl