Ultime notizie

Gli hacker stanno sfruttando i server Exchange vulnerabili per eliminare il ransomware, afferma Microsoft

Gli hacker stanno sfruttando i server Exchange vulnerabili per eliminare il ransomware, afferma Microsoft

Gli hacker stanno sfruttando le vulnerabilità scoperte di recente nei server di posta elettronica di Exchange per eliminare il ransomware, ha avvertito Microsoft, una mossa che mette decine di migliaia di server di posta a rischio di attacchi distruttivi.

In un tweet di giovedì scorso, il gigante della tecnologia ha affermato di aver rilevato il nuovo tipo di malware di crittografia dei file chiamato DoejoCrypt – o DearCry – che utilizza le stesse quattro vulnerabilità che Microsoft ha collegato a un nuovo gruppo di hacker sostenuto dalla Cina chiamato Hafnium.

Quando concatenate insieme, le vulnerabilità consentono a un hacker di assumere il pieno controllo di un sistema vulnerabile.

Microsoft ha affermato che l’Afnio è stato il gruppo “principale” a sfruttare questi difetti, probabilmente per lo spionaggio e la raccolta di informazioni. Ma altre società di sicurezza affermano di aver visto altri gruppi di hacker sfruttare gli stessi difetti. ESET ha affermato che almeno 10 gruppi stanno attivamente compromettendo i server Exchange.

Michael Gillespie, un esperto di ransomware che sviluppa strumenti di decrittografia del ransomware, ha affermato che molti server Exchange vulnerabili negli Stati Uniti, in Canada e in Australia sono stati infettati da DearCry.

Il nuovo ransomware arriva meno di un giorno dopo che un ricercatore di sicurezza ha pubblicato un codice di exploit proof-of-concept per le vulnerabilità su GitHub di proprietà di Microsoft. Il codice è stato rapidamente rimosso poco tempo dopo per aver violato le politiche dell’azienda.

Marcus Hutchins, un ricercatore di sicurezza presso Kryptos Logic, ha detto in un tweet che il codice ha funzionato, anche se con alcune correzioni.

La società di intelligence sulle minacce RiskIQ afferma di aver rilevato oltre 82.000 server vulnerabili a partire da giovedì, ma che il numero è in calo. La società ha affermato che centinaia di server appartenenti a banche e aziende sanitarie sono ancora interessati, così come più di 150 server nel governo federale degli Stati Uniti.

Si tratta di un rapido calo rispetto ai quasi 400.000 server vulnerabili quando Microsoft ha rivelato per la prima volta le vulnerabilità il 2 marzo, ha affermato la società.

Microsoft ha pubblicato correzioni di sicurezza la scorsa settimana, ma le patch non espellono gli hacker dai server già violati. Sia l’FBI che il CISA, l’unità di consulenza per la sicurezza informatica del governo federale, hanno avvertito che le vulnerabilità rappresentano un grave rischio per le aziende negli Stati Uniti.

John Hultquist, vicepresidente dell’analisi presso l’unità di intelligence sulle minacce Mandiant di FireEye, ha affermato di prevedere che più gruppi di ransomware cercheranno di incassare.

“Sebbene molte delle organizzazioni ancora prive di patch possano essere state sfruttate da attori di spionaggio informatico, le operazioni di ransomware criminali possono rappresentare un rischio maggiore in quanto interrompono le organizzazioni e persino estorcono le vittime rilasciando e-mail rubate”, ha affermato Hultquist.

Fonte di notizie

Tags

About the author

Margaret Mazzantini

Margaret Mazzantini

Margaret è una giornalista per diverse importanti società di media genovesi. Lanciagli tutte le cose interessanti.

Add Comment

Click here to post a comment