CCCS: DearCry Ransomware 'gebruikt' om Microsoft Exchange-kwetsbaarheden te exploiteren

Volgens het Canadian Centre for Cyber Security (CCCS) werden Canadese computernetwerken zwaar getroffen toen de Exchange-e-maildienst van Microsoft eerder deze maand werd gehackt.

Op de website van het bureau stond ook dat een nieuwe ransomwarevariant, bekend als DearCry, momenteel wordt "gebruikt door actoren die misbruik maken van de recentelijk onthulde Exchange-kwetsbaarheden".

"Deze kwetsbaarheden worden gebruikt om voet aan de grond te krijgen binnen het netwerk van een organisatie voor kwaadaardige activiteiten, waaronder maar niet beperkt tot ransomware en het exfiltreren van gegevens", aldus de update.

De eerste hack werd aangekondigd door Microsoft Corporate Vice President Tom Burt in een blogpost van eerder deze maand, omdat Burt had aangegeven dat het bedrijf grote kwetsbaarheden ontdekte in zijn Exchange-software. Microsoft noemde de Chinese outfit Hafnuim de hackgroep die verantwoordelijk was voor de aanval.

Hoewel Hafnuim mogelijk in China is gevestigd, zegt Burt dat het "zijn activiteiten voornamelijk uitvoert vanaf gehuurde virtuele privéservers (VPS) in de Verenigde Staten."

Als reactie op de aanval heeft Microsoft verschillende "patches" voor beveiligingsupdates uitgebracht voor verschillende versies van Exchange, inclusief oudere en verouderde versies.

Op dit moment moedigt Microsoft Exchange Server-klanten sterk aan om de nieuw uitgebrachte updates onmiddellijk toe te passen. Volgens de blogpost wordt "Exchange Server voornamelijk gebruikt door zakelijke klanten, en we hebben geen bewijs dat de activiteiten van Hafnium gericht waren op individuele consumenten of dat deze exploits van invloed zijn op andere Microsoft-producten."

Meer dan 20.000 Amerikaanse organisaties getroffen door Microsoft Exchange-hack

In de VS beweerde Jen Psaki, persvoorlichter van het Witte Huis op een persconferentie van 5 maart dat de hack "verstrekkende gevolgen" zou kunnen hebben.

"We zijn bezorgd dat er een groot aantal slachtoffers is en werken samen met onze partners om de omvang hiervan te begrijpen, dus het is een continu proces", zei Psaki tegen verslaggevers.

Maar zelfs in de vroege stadia van dat proces kon een insider van de Amerikaanse regering aan Reuters doorgeven dat meer dan 20.000 Amerikaanse organisaties bij de inbreuk waren gecompromitteerd.

Op Twitter noemde de voormalige directeur van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), Christopher Krebs, vorige week de inbreuk een "gekke enorme hack".

This is a crazy huge hack. The numbers I've heard dwarf what's reported here & by my brother from another mother (@briankrebs). Why, though? Is this a flex in the early days of the Biden admin to test their resolve? Is it an out of control cybercrime gang? Contractors gone wild? pic.twitter.com/cA4lkS4stg

— Chris Krebs (@C_C_Krebs) March 6, 2021

Krebs maakte ook een punt om te zeggen dat iedereen die denkt dat ze mogelijk zijn getroffen, moet patchen "als je dat nog niet hebt gedaan."