Efekty ostatniej dziury w produkcie Microsoftu są coraz gorsze.

10000 dolarów za odszyfrowanie

Serwery Microsoft Exchange, zaatakowane w pierwszej rundzie ataków, są obecnie po raz drugi infekowane przez gangi ransomware. Próbują one zarobić na ostatnich exploitach, które uderzyły w szereg organizacji na całym świecie.

Ransomware - znane jako Black Kingdom, DEMON czy DemonWare - żąda 10 000 dolarów za odzyskanie zaszyfrowanych danych. Szkodliwe oprogramowanie jest instalowane na serwerach Exchange, które zostały wcześniej zainfekowane przez osoby wykorzystujące krytyczną lukę w tym produkcie firmy Microsoft. Ataki rozpoczęły się, gdy luka była jeszcze zero-day’em. Nawet po wydaniu przez Microsoft pilnej poprawki aż 100 000 serwerów, które nie zainstalowały jej na czas, zdążyło jeszcze zostać zainfekowane.

Okazja czyni złodzieja

Hakerzy stojący za tymi atakami zainstalowali powłokę internetową (ProxyLogon), która umożliwiała każdemu, kto zna adres URL, pełną kontrolę nad zaatakowanymi serwerami. Black Kingdom zostało zauważone w zeszłym tygodniu przez firmę SpearTip.

Co ciekawe, Marcus Hutchins, badacz bezpieczeństwa w firmie zabezpieczającej Kryptos Logic, poinformował, że złośliwe oprogramowanie w rzeczywistości wcale nie szyfruje plików. Na maszynach, które znajdowały się pod jego obserwacją, pliki pozostały bezpieczne ale Black Kingdom pozamieszczał w katalogach żądanie okupu. Analityk Microsoft Threat Intelligence, Kevin Beaumont, poinformował jednak, że istnieją już potwierdzone ataki tym Ransomware, kończące się szyfrowaniem zawartości dysku z wyłączeniem jedynie katalogu C:\Windows. Także Arete, firma zajmująca się ochroną środowiska, potwierdziła infekcje Black Kingdom.

Czemu czasami nie szyfruje?

Black Kingdom zostało zauważone jeszcze w czerwcu ubiegłego roku przez firmę ochroniarską RedTeam. Ransomware przejmowało wówczas serwery, którym nie udało się załatać krytycznej luki w oprogramowaniu Pulse VPN.

Brett Callow, analityk ds. bezpieczeństwa w firmie Emsisoft, powiedział, że nie jest jasne, dlaczego w jednym z ostatnich ataków Black Kingdom nie udało się zaszyfrować danych.

Pierwotna wersja szyfrowała pliki, podczas gdy następna po prostu zmieniała ich nazwy. Nie jest jasne, czy obie wersje działają jednocześnie. Nie jest też jasne, dlaczego zmienili swój kod - być może dlatego, że proces zmiany nazwy (fałszywego szyfrowania) nie zostałby wykryty ani zablokowany przez produkty zabezpieczające?

Dodał też, że jedna z wersji oprogramowania ransomware wykorzystuje metodę szyfrowania, która w wielu przypadkach umożliwia przywrócenie danych bez płacenia okupu. Poprosił innych specjalistów, aby metoda nie była szczegółowo publicznie opisana, aby uniemożliwić operatorom oprogramowania ransomware naprawienie swojego błędu.

Patchowanie to za mało

Nie wiadomo na razie czy ataki Black Kingdom uderzały w serwery, które jeszcze nie zainstalowały poprawki awaryjnej Microsoftu, czy też atakujący po prostu przejmowali słabo zabezpieczone powłoki internetowe zainstalowane wcześniej przez inną grupę.

Sprawdź oferty pracy na TeamQuest

Dwa tygodnie temu Microsoft poinformował, że odrębny szczep oprogramowania ransomware o nazwie DearCry przejmuje serwery zainfekowane przez Hafnium. Hafnium to nazwa, którą firma nadała sponsorowanym przez państwo hakerom w Chinach, którzy jako pierwsi użyli ProxyLogon przeciwko Exchange.

W miarę jak kolejne ataki ransomware się powtarzają, łatanie serwerów okazuje się nie być wystarczającym rozwiązaniem kłopotów z Exchange. Nawet gdy serwery otrzymają aktualizacje zabezpieczeń, nadal mogą zostać zainfekowane oprogramowaniem ransomware, jeśli pozostaną jakiekolwiek powłoki internetowe (backdoory).