Хакеры шифруют данные клиентов Microsoft Exchange и требуют выкуп

15.03.2021, Пн, 10:08, Мск , Текст: Роман Георгиев

Опасения в том, что недавние уязвимости нулевого дня в Microsoft Exchange спровоцируют волну атак шифровальщиков, высказывались давно, и вот такой шифровальщик появился. Между тем, Microsoft удалила экспериментальный эксплойт к уязвимостям из GitHub, что привело к скандалу.

Ждали и дождались

Появился первыйшифровальщик, прицельно атакующий недавно раскрытые уязвимости в Microsoft Exchange. В частности, 2марта 2021 г. Microsoft опубликовала внеочередные исправления для четырех багов нулевого дня, изкоторых наиболее опасной является CVE-2021-26855, также известная как ProxyLogon. К тому временизлоумышленники уже активно пользовались этими уязвимостями, что и потребовалопринятия экстренных мер.

Опасения, что этиуязвимости могут использоваться для распространения шифровальщиков,высказывались с самого начала. Теперь это стало реальностью: с 9 марта всистему идентификации шифровальщиков ID-Ransomware начали загружать сэмплы нового вредоноса и прилагающиесязаписки с требованием выкупа, обнаруженные на серверах Exchange.

Шифровальщик былидентифицирован как Ransom:Win32/DoejoCrypt.A или DearCry. Его загрузка на уязвимые серверы, по всейвидимости, производилась вручную.

Как отмечается вматериале издания Bleeping Computer, шифровальщик использует алгоритмы AES-256 + RSA-2048. Все зашифрованныефайлы снабжаются расширением CRYPT, в самом начале содержимого каждого файлапоявляется слово DEARCRY! (с восклицательным знаком в конце). Как минимум у одной жертвы злоумышленникипотребовали $16 тыс.

По данным компании Palo Alto Networks, за последниенесколько дней обновления, исправляющие уязвимости, были установлены нанесколько десятков тысяч серверов Exchange. К сожалению, существуют также другие десяткитысяч серверов — старых, которые не могут получить обновления напрямую.

В Palo Alto рекомендуют рассматривать любой необновленныйсервер как заведомо скомпрометированный, пока не доказано обратное: междуначалом практических атак и выпуском патчей прошли не менее двух месяцев.

К настоящему времениизвестно о десятках тысяч организаций, в той или иной степени пострадавших отатак на Exchange, в их числе парламент Норвегии и Европейское банковское управление. Microsoft указала, чтоактивнее всего уязвимости эксплуатирует группировка Hafnium, предположительно связанная с китайскимиспецслужбами. Но и десятки киберпреступных группировок — Tick, LuckyMouse, Calypso, Tonto Team, Mikroceen, Winnt iGroup и др. —в настоящий момент продолжают охоту на уязвимые серверы Exchange.

Позаботились, спасибо

Дополнительный скандалразгорелся в середине марта 2021 г., когда стало известно, что вьетнамскийэксперт по информационной безопасности НгуенЧан (Nguyen Jang)опубликовал на GitHub код экспериментального эксплойта к уязвимости CVE-2021-26855 в Exchange, а администрация сервиса его моментально удалила,ссылаясь на то, что эксплойт представляет практическую угрозу для клиентов Microsoft.

GitHub принадлежит Microsoft. Другие репозитории, на которых Нгуен Чан разместил свой код, не сталипредпринимать никаких мер против него. Решение руководства GitHub или Microsoft удалить код невызвало никакого энтузиазма у других экспертов по безопасности, поскольку,во-первых, оно мало соотносится с правилами GitHub (другие PoC-эксплойты встречаются там в изобилии), аво-вторых, потому, что никакого собственно вредоносного содержания в кодеНгуена Чана нет.

Представители GitHub, однако, отступатьсяот своего решения не намерены: в качестве причины удаления кода они назвали тотфакт, что речь идет о «недавно раскрытой и активно эксплуатируемой уязвимости».

Другие эксперты отметили,что код Чана работоспособен только при некоторых изменениях в нем. То есть,реальная опасность самого эксплойта не слишком высока.

«Озабоченность проблемойсо стороны Microsoft понятна, но это совершенно не повод подавлятьраспространение информации и кода, который они, кстати, и не стали бы удалять,не касайся дело их собственных разработок, — указывает Алексей Водясов, технический директор компании SEC ConsultServices. — Более того, для той же уязвимости на GitHub опубликованы и другиеPoC-эксплойты, и их удалять не стали. Почему санкциям подвергся кодвьетнамского эксперта, непонятно. В любом случае, правила GitHub не запрещаютразмещать подобные вещи в его репозиториях, а произвольное удаление под какимбы то ни было благовидным предлогом весьма негативно сказываются навзаимоотношениях между экспертным сообществом и Microsoft».