Het misbruik van de veelbesproken zero day-kwetsbaarheden in Microsoft Exchange neemt toe. Aanvallers verhogen de druk door nu ook ransomware binnen te smokkelen via de lekken.
Aanvallen op kwetsbare Exchange-servers nemen toe. Dat stelt Check Point vast. Cybercriminelen misbruiken de eerder deze maand ontdekte zero day-lekken in de on-premises en gehoste versies van Microsoft Exchange om steeds meer aanvallen op te zetten. Check Point ziet de afgelopen 24 uur iedere twee tot drie uur een verdubbeling van aanvallen met de lekken als doelwit. Palo Alto gaf eerder te kennen dat er wereldwijd nog 125.000 niet gepatchte mailservers online zijn.
Aanvankelijk werden de aanvallen uitgevoerd door APT-groeperingen die zich vooral een weg naar binnen wilden werken via de achterpoortjes. De eventuele uitbuiting of diefstal van die data lijkt voor de hackers onderdeel van een tweede fase. Intussen neemt niet alleen het aantal hackers toe dat de zero days aanvalt, ook het type aanval verandert.
DearCry-ransomware
Sinds vandaag ziet Microsoft een nieuwe vorm van ransomware de kop opsteken: DearCry. Die ransomware treft niet alleen ongepatchte systemen. Ook eigenaars van een server die al wel gepatcht is, zijn kwetsbaar indien aanvallers zich eerder al een weg naar binnen baanden. De installatie van de updates die beschermt tegen de zero-days houdt nieuwe kraakpogingen tegen, maar doet niets tegen aanvallers die zichzelf eerder al binnenlieten.
De introductie van ransomware maakt het des te urgenter voor eigenaars van Exchange-servers om grondig na te kijken of er geen malafide toegang is geweest. Wie intussen nog geen patch heeft geïnstalleerd moet dat uiteraard eerst doen, al vermoeden we dat de profielen die intussen de patch nog als optioneel beschouwen het technologienieuws niet bepaald nauwgezet opvolgen.