CCCS: DearCry Ransomware "sfruttato" per sfruttare le vulnerabilità di Microsoft Exchange

Secondo il Canadian Center for Cyber Security (CCCS), all'inizio di questo mese le reti di computer canadesi hanno subito un grave impatto quando il servizio di posta elettronica Exchange di Microsoft è stato violato.

Il sito web dell'agenzia ha anche affermato che una nuova variante di ransomware, nota come DearCry, è attualmente "sfruttata da attori che sfruttano le vulnerabilità di Exchange recentemente rivelate".

"Queste vulnerabilità vengono sfruttate per ottenere un punto d'appoggio all'interno della rete di un'organizzazione per attività dannose che includono ma non sono limitate al ransomware e all'esfiltrazione di dati", si legge nell'aggiornamento.

L'hack iniziale è stato annunciato dal vicepresidente aziendale di Microsoft Tom Burt in un post sul blog all'inizio di questo mese, poiché Burt aveva affermato che la società ha scoperto importanti vulnerabilità nel suo software Exchange. Microsoft ha accreditato la società cinese Hafnuim come il gruppo di hacker responsabile dell'attacco.

Sebbene Hafnuim abbia sede in Cina, Burt afferma che "conduce le sue operazioni principalmente da server privati virtuali (VPS) in leasing negli Stati Uniti".

In risposta all'attacco, Microsoft ha rilasciato diverse "patch" di aggiornamento della protezione per varie versioni di Exchange, comprese le versioni precedenti e obsolete.

In questo momento, Microsoft incoraggia vivamente i clienti di Exchange Server ad applicare immediatamente gli aggiornamenti appena rilasciati. Secondo il post sul blog, "Exchange Server è utilizzato principalmente dai clienti aziendali e non abbiamo alcuna prova che le attività di Hafnium siano mirate a singoli consumatori o che questi exploit abbiano un impatto su altri prodotti Microsoft".

Oltre 20.000 organizzazioni statunitensi interessate dall'hacking di Microsoft Exchange

Negli Stati Uniti, in una conferenza stampa del 5 marzo, il segretario stampa della Casa Bianca Jen Psaki ha affermato che l'hack potrebbe avere "impatti di vasta portata".

"Siamo preoccupati che ci sia un gran numero di vittime e stiamo lavorando con i nostri partner per comprenderne la portata, quindi è un processo in corso", ha detto Psaki ai giornalisti.

Ma anche nelle prime fasi di quel processo, un membro del governo degli Stati Uniti è stato in grado di trasmettere a Reuters che più di 20.000 organizzazioni statunitensi sono state compromesse dalla violazione.

Su Twitter la scorsa settimana, l'ex direttore della Cybersecurity and Infrastructure Security Agency (CISA) statunitense, Christopher Krebs, ha definito la violazione un "enorme hack pazzo".

This is a crazy huge hack. The numbers I've heard dwarf what's reported here & by my brother from another mother (@briankrebs). Why, though? Is this a flex in the early days of the Biden admin to test their resolve? Is it an out of control cybercrime gang? Contractors gone wild? pic.twitter.com/cA4lkS4stg

— Chris Krebs (@C_C_Krebs) March 6, 2021

Krebs ha anche sottolineato che chiunque pensi che potrebbero essere stati colpiti dovrebbe applicare la patch "se non l'hai già fatto".