Jak donosi AhnLab, złośliwi aktorzy wykorzystują lukę dnia zerowego firmy Microsoft do włamywania się na serwery Exchange i wdrażania oprogramowania ransomware LockBit 3.0.
Serwery Microsoft Exchange są narażone na ataki ransomware
Nowy błąd Microsoftu typu zero-day jest rzekomo wykorzystywany do uruchamiania LockBit 3.0, niebezpiecznego programu ransomware zdolnego do szyfrowania i eksfiltracji wszystkich danych na zainfekowanym urządzeniu.
Seria ataków, zgłoszona przez południowokoreańską firmę zajmującą się cyberbezpieczeństwem AhnLab, nie została jeszcze potwierdzona exploit zero-day, chociaż uważa się, że jest to najbardziej prawdopodobna przyczyna. Niektórzy nie są przekonani, że winowajcą jest zero-day, jak pokazano w tweecie poniżej.
Potwierdzenie przyczyny tej nowej fali ataków może zająć trochę czasu, czy to luki w zabezpieczeniach, czy inne.
LockBit 3.0 stwarza poważne zagrożenia dla prywatnych danych
LockBit 3.0 (znany również jako LockBit Black) to najnowsza iteracja w Rodzina LockBit ransomware-as-a-service (RaaS).
, zastępując LockBit 1.0 i 2.0. Ta konkretna odmiana oprogramowania ransomware została po raz pierwszy wykryta wiosną 2022 roku i już jest popularna wśród cyberprzestępców.Oprócz szyfrowania i eksfiltracji danych, LockBit 3.0 może również usuwać niektóre usługi lub funkcje, aby proces szyfrowania i eksfiltracji był szybszy i łatwiejszy. Gdy pliki ofiary zostaną zaszyfrowane i skradzione, tapeta zainfekowanego urządzenia zmieni się, aby pokazać celowi, że został zaatakowany.
Microsoft Exchange to nie obce hacki
W chwili pisania tego tekstu firma Microsoft pracuje już nad dostarczeniem poprawek dla dwóch dodatkowych luk, CVE-2022-41040 i CVE-2022-41082.
Latem 2022 roku osoby atakujące wdrożyły powłokę internetową i zdołały ukraść ponad 1,3 TB danych z kont Microsoft Exchange. Dokonano tego poprzez wykorzystanie dwóch wspomnianych luk w zabezpieczeniach.
Należy zauważyć, że ataki letnie i jesienne nie zostały przeprowadzone z wykorzystaniem tych samych luk w zabezpieczeniach. Dzieje się tak, ponieważ techniki ataku wydają się nie nakładać.
LockBit Ransomware to ciągłe zagrożenie
Od czasu wydania pierwszej iteracji ransomware LockBit stanowi poważne zagrożenie dla celów na całym świecie. Wraz z modelem ransomware-as-a-service firmy LockBit oferującym oprogramowanie ransomware rosnącej bazie płacących użytkowników, możliwość nowych ataków rośnie z czasem. Kto wie, jaka platforma będzie następnym celem złośliwego operatora LockBit.
