Microsoft Exchange’i kullanan kuruluşların artık yeni bir güvenlik baş ağrısı var: Çin’de devlet destekli bilgisayar korsanları tarafından zaten enfekte olmuş sunuculara yüklenen daha önce hiç görülmemiş fidye yazılımı.
Microsoft, yeni fidye yazılımı dağıtım ailesini Perşembe günü geç saatlerde bildirdi ve sunucuların ilk uzlaşmasından sonra dağıtıldığını söyledi. Microsoft’un yeni aile için adı Ransom: Win32 / DoejoCrypt.A. daha yaygın adı DearCry olduğunu.
Hafniyum kapalı Piggybacking
Güvenlik firması Kryptos Logic Cuma öğleden sonra yaptığı açıklamada, daha sonra fidye yazılımı ile enfekte olan Hafniyumdan tehlikeye atılmış Exchange sunucularını tespit ettiğini söyledi. Kryptos mantık güvenlik araştırmacısı Marcus Hutchins, Ars’ye fidye yazılımının DearCry olduğunu söyledi.
Kryptos Logic,” kamuya açık olan ve değişim güvenlik açığından yararlanan aktörler tarafından yerleştirilen 6970 açık web kabuğunu keşfettik ” dedi. “Bu kabuklar fidye yazılımını dağıtmak için kullanılıyor.”Webshells, saldırganların komutları çalıştırmak ve virüslü sunucularda kötü amaçlı kod çalıştırmak için tarayıcı tabanlı bir arayüz kullanmasına izin veren arka kapılardır.
Bu genel web kabuklarından birinin URL’sini bilen herkes, tehlikeye atılan sunucu üzerinde tam kontrol sahibi olabilir. DearCry hackerları fidye yazılımlarını dağıtmak için bu kabukları kullanıyor. Web kabukları başlangıçta Hafnium tarafından kuruldu, Microsoft’un Çin dışında faaliyet gösteren devlet destekli bir tehdit aktörüne verdiği isim.
Saldırılar çalışan insan vardır “Hutchins ” dedi,” bir hacker bir anda el ile Exchange server üzerinde ransomware yüklediği anlam. Neredeyse 7.000 sunucunun hepsi DearCry tarafından vurulmadı.
Hutchins,” temel olarak, suç aktörlerini hafniyumun geride bıraktığı kabukları kullanarak ağlara bir dayanak elde etmeye başlıyoruz ” dedi.
Güvenlik uzmanlarının kaçınılmaz olduğunu söylediği fidye yazılımının dağıtımı, ProxyLogon tarafından sömürülen güvenli sunuculara devam eden yanıtın önemli bir yönünün altını çiziyor. Sadece yamaları yüklemek için yeterli değil. Geride kalan web kabuklarını kaldırmadan, sunucular ya arka kapıları orijinal olarak yükleyen bilgisayar korsanları ya da onlara nasıl erişeceklerini anlayan diğer bilgisayar korsanları tarafından saldırıya açık kalır.
DearCry hakkında çok az şey biliniyor. Güvenlik firması Sophos, ransomware’i yükleyen dosyaya gömülü olan ortak anahtarlı bir şifreleme sistemine dayandığını söyledi. Bu, önce bir komut ve kontrol sunucusuna bağlanmaya gerek kalmadan dosyaların şifrelenmesine izin verir. Verilerin şifresini çözmek için, kurbanlar sadece saldırganlar tarafından bilinen özel anahtarı almalıdır.
Dearcry’yi ilk keşfedenler arasında, araştırmacıların kötü amaçlı yazılım suşlarını tanımlamasına yardımcı olan bir hizmeti çalıştıran bir güvenlik uzmanı olan Mark Gillespie vardı . Perşembe günü, Salı günü başlayarak, ABD, Kanada ve Avustralya’daki Exchange sunucularından “DEARCRY ” dizesine sahip kötü amaçlı yazılımlar için sorgular almaya başladığını bildirdi.”
Daha sonra, Bleeping Computer’daki bir kullanıcı forumuna, fidye yazılımının Hafniyum tarafından ilk kez sömürülen sunuculara yüklendiğini söyleyen birini buldu. Bleeping bilgisayar yakında önsezisini doğruladı.
Güvenlik firması Mandiant’ın Başkan Yardımcısı John Hultquist, web kabuklarını yükleyen bilgisayar korsanlarına saldırmanın, proxylogon güvenlik açıklarından yararlanmaktan ziyade, kötü amaçlı yazılımları yamasız sunuculara dağıtmak için daha hızlı ve daha verimli bir araç olabileceğini söyledi. Ve daha önce de belirtildiği gibi, sunucular yamalı olsa bile, ransomware operatörleri, web kabukları kaldırılmadığında makineleri tehlikeye atabilir.
Hultquist bir e-postada” yakın vadede fidye yazılımı aktörleri tarafından değişim güvenlik açıklarının daha fazla kullanılmasını bekliyoruz ” dedi. “Hala ele geçirilmemiş kuruluşların çoğu siber casusluk aktörleri tarafından sömürülmüş olsa da, cezai fidye yazılımı işlemleri, örgütleri bozdukları ve hatta çalınan e-postaları serbest bırakarak kurbanları gasp ettikleri için daha büyük bir risk oluşturabilir.”
Update 7: 40 pm EST: bu yazı, başlıktan “7,000” i kaldırmak ve hepsinin fidye yazılımı ile enfekte olmadığını açıkça belirtmek için güncellendi.