Conti ransomware heeft het gemunt op onveilige Microsoft Exchange-servers. Hoewel de patch al lang werd uitgerold door Microsoft, installeren bedrijven de update vaak niet. Aanvallers kunnen hierdoor misbruik blijven maken van de bug.
Onderzoekers van Sophos hebben naar buiten gebracht dat Conti netwerken aanvalt met ProxyShell. Dit is een evolutie van ProxyLogon, dat als ransomware werd gebruikt door Epsilon Red. Conti gebruikt de ransomware op Exchange-servers die nog steeds onveilig zijn. Voornamelijk de snelheid waarmee de aanvallen plaatsvinden, verbaast de onderzoekers van Sophos.
In maart maakte Microsoft bekend dat Chinese hackers vier zero-day-kwetsbaarheden in Exchange Server gebruikten om data te stelen van honderdduizenden bedrijven. De eerste patch die het bedrijf uitrolde, bracht geen soelaas. In plaats van dat de patch de hackers tegenhield, konden ze hun aanval net opschalen.
Oplossingen onbenut
Via meerdere wegen probeert Microsoft de Exchange-kwetsbaarheden sindsdien te dichten. Zo werd opnieuw een patch uitgerold. Een nieuwe mitigatie-tool werd vrij snel uitgebracht vanuit Microsoft. Verder werd ook Microsoft Defender in de strijd gegooid. Zelfs niet meer ondersteunde versies van Microsoft Exchange Server kregen per uitzondering een patch.
Het probleem is echter dat niet alle bedrijven even gretig gebruik maken van die oplossingen. De FBI nam in Amerika al het heft in eigen handen wat de bescherming van kwetsbare Exchange-servers betreft. In België liepen in augustus echter nog minstens 650 bedrijven risico door het lek.
Wie niet horen wil, moet voelen, lijkt hier van toepassing. Conti maakt momenteel namelijk gebruik van de achteloosheid van sommige bedrijven. Conti ransomware is een private Ransomware-as-a-Service (RaaS)-operatie die waarschijnlijk wordt beheerd door een Russische groep cybercriminelen bekend onder de naam Wizard Spider.
lees ook