"Om de zaken nog erger te maken werden de proof-of-concept geautomatiseerde aanvalsscripts openbaar gemaakt"

Gepubliceerd op 26 maart 2021 om 07:00

Ruim een week nadat Microsoft de 'mitigatietool met één muisklik' heeft uitgebracht om cyberaanvallen op lokale Exchange-servers te beperken maakte het bedrijf bekend dat de patches reeds zijn uitgevoerd op 92% van alle internet-gerichte servers die zijn getroffen door de 'ProxyLogon-kwetsbaarheden'.

Deze 'patch wave' is een verbetering van 43% ten opzichte van de vorige week en sluit hierbij een wervelwind van spionage- en malware campagnes af die duizenden bedrijven wereldwijd troffen. Met maar liefst 10 'Advanced Persistent Threat-groepen' (APT) die opportunistisch snel in actie kwamen om de bugs te misbruiken.

Nog steeds 29.966 kwetsbaar

Volgens telemetrie gegevens van 'RiskIQ' zijn er ongeveer 29.966 exemplaren van Microsoft Exchange-servers die nog steeds worden blootgesteld aan aanvallen, tegen 92.072 op 10 maart.

Terwijl Exchange-servers werden aangevallen door meerdere in China gelinkte (door de staat gesponsorde) hackersgroepen voorafgaand aan de patch van Microsoft op 2 maart. Zorgde de release van de 'proof-of-concept- exploits' voor een golf van infecties waardoor de deur openging voor escalerende aanvallen zoals ransomware en het hacken van webshells op niet-gepatchte Microsoft Exchange-servers wagenwijd werden opengezet.

"Om de zaken nog erger te maken werden de proof-of-concept geautomatiseerde aanvalsscripts openbaar gemaakt, waardoor zelfs ongeschoolde aanvallers snel op afstand controle konden krijgen over een kwetsbare Microsoft Exchange Server", merkte cybersecuritybedrijf 'F-Secure' op vorige week.

Ransomware 

Sinds Microsoft zijn patches voor het eerst uitbracht zijn er ten minste twee verschillende soorten ransomware aanvallen ontdekt die gebruik maakten van de tekortkomingen van deze patches. 'DearCry' en 'Black Kingdom' maken handig gebruik van de tekortkomingen om zich in de getroffen systemen te nestelen.

De analyse van het cyberbeveiligingsbedrijf Sophos over de 'Black Kingdom' ransomware schildert deze ransomware af als "ietwat rudimentair en amateuristisch van opzet", waarbij de aanvallers de fout van ProxyLogon misbruiken om een ​​webshell te implementeren en deze te misbruiken om een ​​PowerShell-opdracht uit te voeren die de  ransomware downloadt en vervolgens de bestanden versleutelen en bitcoins als losgeld eisen in ruil voor de ontsleutel software.

"De Black Kingdom-ransomware die zich richt op niet-gepatchte Exchange-servers heeft alle kenmerken van een ontwerp van een gemotiveerde scriptkiddie," zei Mark Loman, technisch directeur bij Sophos. "De versleutelingshulpmiddelen en -technieken zijn onvolmaakt, maar het losgeld van $ 10.000 in bitcoin is laag genoeg om succesvol te zijn. Elke bedreiging moet serieus worden genomen, zelfs van schijnbare lage kwaliteit."

Kwetsbaarheid gelekt?

Het aantal aanvallen voordat de 'ProxyLogon kwetsbaarheid' openbaar werd gemaakt heeft experts ertoe aangezet om te onderzoeken of de exploit werd gedeeld of verkocht op het Darkweb. Of als een Microsoft-partner met wie het bedrijf informatie over de kwetsbaarheden deelde via het 'Microsoft Active Protections Program' (MAPP ) per ongeluk of opzettelijk deze kwetsbaarheid heeft gelekt.

Bron: sophos.com, f-secure.com, thehackernews.com

Tips of verdachte activiteiten gezien? Meld het hier.

Gerelateerde berichten