CCCS: программа-вымогатель DearCry, использованная для использования уязвимостей Microsoft Exchange

По данным Канадского центра кибербезопасности (CCCS), канадские компьютерные сети серьезно пострадали, когда в начале этого месяца была взломана почтовая служба Microsoft Exchange.

На веб-сайте агентства также сообщается, что новый вариант программы-вымогателя, известный как DearCry , в настоящее время «используется участниками, использующими недавно обнаруженные уязвимости Exchange».

«Эти уязвимости используются, чтобы закрепиться в сети организации для злонамеренных действий, которые включают, помимо прочего, программы-вымогатели и кражу данных», - говорится в обновлении.

Первоначальный взлом был объявлен корпоративным вице-президентом Microsoft Томом Бертом в блоге, опубликованном ранее в этом месяце, поскольку Берт заявил, что компания обнаружила серьезные уязвимости в своем программном обеспечении Exchange. Microsoft назвала китайскую компанию Hafnuim хакерской группой, ответственной за атаку.

Хотя Hafnuim может базироваться в Китае, Берт говорит, что он «проводит свои операции в основном с арендованных виртуальных частных серверов (VPS) в Соединенных Штатах».

В ответ на атаку Microsoft выпустила несколько «заплаток» обновлений безопасности для различных версий Exchange, включая старые и устаревшие версии.

В настоящее время Microsoft настоятельно рекомендует клиентам Exchange Server немедленно применять недавно выпущенные обновления. Согласно сообщению в блоге, «Exchange Server в основном используется бизнес-клиентами, и у нас нет доказательств того, что деятельность Hafnium нацелена на отдельных потребителей или что эти эксплойты влияют на другие продукты Microsoft».

Более 20000 организаций США пострадали от взлома Microsoft Exchange

В США на пресс-конференции 5 марта пресс-секретарь Белого дома Джен Псаки заявила, что взлом может иметь «далеко идущие последствия».

«Мы обеспокоены большим количеством жертв и работаем с нашими партнерами, чтобы понять масштабы этого, так что это непрерывный процесс», - сказал Псаки репортерам.

Но даже на ранних стадиях этого процесса инсайдер из правительства США смог передать Рейтер, что в результате взлома были скомпрометированы более 20 000 американских организаций.

На прошлой неделе в Твиттере бывший директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) Кристофер Кребс назвал взлом «безумным огромным взломом».

This is a crazy huge hack. The numbers I've heard dwarf what's reported here & by my brother from another mother (@briankrebs). Why, though? Is this a flex in the early days of the Biden admin to test their resolve? Is it an out of control cybercrime gang? Contractors gone wild? pic.twitter.com/cA4lkS4stg

— Chris Krebs (@C_C_Krebs) March 6, 2021

Кребс также отметил, что любой, кто думает, что он, возможно, был затронут, должен исправить это, «если вы еще этого не сделали».