接上文:Exchange补丁发布前后至少有十个APT组织利用漏洞攻击
微软今天证实,攻击者目前正在利用 ProxyLogon漏洞在未打补丁的Microsoft Exchange电子邮件服务器上安装勒索软件并对其内容进行加密。
攻击至少从3月9日星期二开始进行,并且是在受害者组织将勒索票据的副本上传到ID-Ransomware后发现的, ID-Ransomware是一种基于Web的工具,用于识别已加密受害者系统的勒索软件名称的网站。
ID勒索软件的创建者和Emsisoft安全研究员Michael Gillespie表示,到目前为止,已经发现了六名受害者。
该新勒索软件的名称为 DearCry,该名称是根据加密文件中的文件标记选择的;但是,Microsoft Defender也将其检测为 Ransom:Win32 / DoejoCrypt.A。
根据安全研究人员MalwareHunterTeam的说法,这些攻击规模很小,最近没有发现新的受害者,并且在奥地利,澳大利亚,加拿大,丹麦和美国观察到了孤独的受害者。
MalwareHunterTeam告诉The Record,根据ID勒索软件提交的IP地址,大多数受害者是小公司,但似乎是一个较大的实体 。
攻击是在将ProxyLogon漏洞的公共漏洞 发布到网上之前开始的 ,这表明攻击者开发了自己的私有漏洞来攻击未打补丁的Exchange电子邮件服务器。
一旦服务器受到攻击并对其数据进行加密,则服务器上的 文件将在末尾添加一个额外的 .CRYPT文件扩展名。
Gillespie分析了勒索软件的加密方案,他说他无法识别出不支付勒索就可以用来解密文件的任何弱点或编码错误。
网络安全行业的多个消息来源还告诉The Record称,勒索软件似乎是一种迅速匆忙使用的工具,至少根据迄今为止的证据,至少与任何大型或知名的威胁因素没有任何关系。
攻击发生之际,安全专家在过去一周警告Exchange服务器所有者要迅速修补其系统,因为一旦勒索软件团伙开始使用可正常工作的ProxyLogon攻击程序,他们便会开始将其系统作为目标。
额外说一句
勒索软件REvil在网络上公告了一则服务,他们打算利用DDoS攻击新闻媒体公司,并作为服务出售
二道认为,在现如今,信息快速传递的时代,搞瘫痪别人的服务可能会造成一时的信息不流通而损失上百万,可能未来毛子黑客的攻击重点会偏向各式各样的勒索。
本文始发于微信公众号(二道情报贩子):勒索软件团伙正在利用Exchange漏洞疯狂攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论