7,000名Exchange服务器首先由中国黑客损害兰扣

现在，使用Microsoft Exchange的组织具有新的安全性头痛：从未查看的赎金布载于正在安装的数千个服务器上，这些软件正在中国已经感染的数千台服务器上。

Microsoft报告了周四末期的新赎金软件部署系列，称它正在部署在服务器的初始妥协之后。微软的新家名称是赎金：Win32 / Doejocrypt.a。越来越常见的是善恶。

我们已检测到，现在在未被斑驳的本地交换服务器的初始折衷之后屏蔽了一个正在使用的新的赎回族。 Microsoft将针对这种称为赎金的威胁来保护：Win32 / Doejocrypt.a，也是诚如此。

- Microsoft Security Intelligence（@MsFtsecIntel）3月12日，2021年3月12日

安全公司Kryptos Logic表示星期五下午，它已检测到接近7,000个受到损坏的交换服务器，这些服务器正在被勒索软件感染。 Kryptos Logic Security研究员Marcus Hutchins告诉Ars赎金软件是贵宾器。

“我们刚刚发现了6970次公开暴露的网斯贝尔，并由演员利用交易所脆弱性放置，”Kryptos Logic表示。 “这些shell正在用于部署赎金软件。” WebShells是返回O00的允许攻击者使用基于浏览器的界面来运行命令并在受感染的服务器上执行恶意代码。

我们曾经发现过6970个公开暴露的WebShells，并由演员利用交易所脆弱性放置。这些shell正在用于部署ransomware。如果您＆＃39;重新注册到Telltale（https://t.co/caxu7rqhai），您可以检查您＆＃39;重新影响pic.twitter.com/djem59oim2

- Kryptos Logic（@KryptosLogic）2021年3月12日

任何了解这些公共网络屏蔽的URL的人都可以完全控制受妥协的服务器。负责感染的黑客正在使用这些壳部署勒索软件。 WebShell最初由Hafnium安装，Microsoft的名称已经赋予了在中国经营的国家赞助的威胁演员。

“基本上我们开始使用铪留下的炮弹看到犯罪分子，以便立足到网络，”Hutchins解释说。

研究人员表示，铪是高级持久威胁团体的至少九个APTS-Shift，它已经被剥削了被称为Proxylogon的外汇漏洞，其中Microsoft Microsoft Microsoft。研究人员还表示，自1月份自1月份自1月份爆发了多达10万台服务器。

勒索软件的部署，安全专家所说的是不可避免的，强调了对由Proxylogon利用的安全服务器持续回应的关键方面。只需安装修补程序是不够的。如果没有删除留下的网屏蔽镜头，服务器仍然是侵入的，由最初安装了后门的黑客，或者由弄清楚如何获得如何访问它们的其他同伴黑客。

令人难以置信的是嗜好。安全公司Sophos表示，它基于公钥密码系统，其中嵌入在安装勒索软件的文件中的公钥。允许加密文件而无需先连接到命令和控制服务器。要解密数据，受害者必须获取仅为攻击者已知的私钥。

您需要了解的是#dearcry by Mark Loman（@markloman）导演，工程技术办公室，Sophos（一个线程）：来自加密行为视图，Dealcry是Sophos Ransomware专家呼叫“复制”赎金软件的内容。 1/9

- Sophoslabs（@Sophoslabs）3月12日，2021年3月12日

在第一个发现Dearcry是Mark Gillespie的安全专家，该专家们运营一个有助于研究人员识别恶意软件株的服务。周四，他报告说，从周二开始，他开始从美国，加拿大和澳大利亚的Exchange服务器获得查询，了解具有字符串“Dearcry”的恶意软件。

🚨#exchange服务器可能会击中#ransomware🚨iDransomware正在突然与＆＃34的提交的突然群; .crypt＆＃34;和FileMarker＆＃34; Deakcry！＆＃34;来自美国，加利福尼亚州的IPS的IPS Exchange Servers，Au快速外观。 pic.twitter.com/wpcu2v6kvl.

- Michael Gillespie（@ Demonslay335）2021年3月11日

后来他发现有人发布到有人发布到用户论坛上的电脑上，说瑞金首次被剥削的服务器上安装了赎金软件。 Bleeping Computer很快确认了这驼。

副总裁John Hultquist表示，安全公司Mandiant的副总裁说，储蓄圈上安装了WebShells的黑客可以是一个更快，更高效的手段，可以在未划分的服务器上部署恶意软件，而不是利用Proxylogon漏洞。如上所述，即使服务器正在修补，冗员运算符仍然可以在WebShells未被删除时损害计算机。

“我们预计在近期赎金软件演员对交易所脆弱性的更具利用，”Hultquist在电子邮件中写道。 “虽然许多仍未被网络间谍活动的组织可能已经被Cyber​​ Espionage演员开采，但刑事赎金软件运营可能会使他们扰乱组织甚至通过释放被盗的电子邮件来构成更大的风险。”