Modern technology gives us many things.

Exchange Server: Angreifer nutzen Schwachstellen für Ransomware „DearCry“

0 36

Exploits z. Hd. die ProxyLogon-Lücke in Exchange Server kursieren schon, nun kommt sogar noch Ransomware dazu. Erste Nutzer berichten von verschlüsselten Dateien.


    Exchange Server: Angreifer nutzen Schwachstellen für Ransomware "DearCry"

(Bild: antb/Shutterstock.com)

Von

  • Tilman Wittenhorst

Die gravierenden Schwachstellen in Microsoft Exchange Server nutzen Cyberkriminelle bereits aus, und die betroffenen Systeme sind längst noch nicht alle mit den erforderlichen Updates versehen, in denen die Lücken geschlossen sind. Nun jedoch werden anfällige Exchange-Server auch noch das Ziel von Ransomware, die über die Lücken in die Systeme eindringt. Microsoft bestätigte inzwischen den entsprechenden Bericht von BleepingComputer.

Am 3. März veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für Exchange Server, mit denen vier kritische Schwachstellen geschlossen wurden. Zu diesem Zeitpunkt gab es bereits Angriffe, die diese Lücken kombinierten und ausnutzten (zeroday), bekannt unter der Bezeichnung "ProxyLogon"; Angreifer erhalten volle Kontrolle über ein System. Am 9. März erhielt eine Website, die Ransomware-Proben untersucht, erstmals Muster einer neuen Ransomware-Variante, die fast alle von Exchange-Servern stammten, berichtet BleepingComputer.

Auch im Forum von BleepingComputer schildert ein Nutzer, wie ein von ihm administrierter Exchange-Server per "ProxyLogon" kompromittiert worden war und nun mit einer "DearCry" getauften Malware befallen ist. Ransomware verschlüsselt bestimmte oder alle Dateien eines infizierten Systems kryptografisch und fordert Nutzer zur Lösegeldzahlung auf, um einen Entschlüsslung-Key zu erhalten. Weil schon erste Exploits der "ProxyLogon"-Lücken kursierten, war bereits befürchtet worden, dass bald Ransomware-Angriffe auf Exchange folgen würden. Diese Erpressungs-Schadsoftware gehört zu den lukrativsten Formen der Cyberkriminalität, Kunden sind oft bereit, die geforderte Summe zu bezahlen (ob sie daraufhin den versprochenen Key erhalten, ist aber nicht sicher).

Microsofts Security-Spezialist Phillip Misner bestätigte kurz darauf bei Twitter, dass eine neue Ransomware – von ihm "DoejoCrypt" genannt – auf Exchange-Systemen gesichtet wurde. Die Angriffe seien von Menschen ausgeführt und nutzten die ProxyLogon-Schwachstellen.

BleepingComputer habe von einem McAfee-Mitarbeiter zudem erfahren, dass deren Beobachtungsteam solche Angriffe bereits in den USA, in Luxemburg, Indonesien, Indien, Irland und Deutschland entdeckt habe. Auch das IT-Notfallteam CERT-Bund des BSI erwähnt auf Twitter, dass es erste Hinweise auf Ransomware-Attacken auf Exchange gebe.

Lesen Sie auch


    Exchange Server: Angreifer nutzen Schwachstellen für Ransomware "DearCry"

Die Angriffe auf Schwachstellen in Exchange Server sind eine erhebliche Bedrohung der IT-Sicherheit weltweit. Das BSI sieht allein in Deutschland zehntausende Systeme betroffen und hat bereits die "IT-Bedrohungslage rot" ausgerufen. Administratoren sollten umgehend tätig werden, die Updates einspielen und ihre Systeme auf Angriffe untersuchen; dazu stellt Microsoft unter anderem ein PowerShell-Skript bereit.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

#heiseshow: "IT-Bedrohungslage rot" – Was es mit dem Exchange-Hack auf sich hat

(tiw)

Quelle: www.heise.de

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More