Εγκληματίες του κυβερνοχώρου στοχεύουν ευάλωτους Microsoft Exchange servers με cryptomining malware. Οι zero-day ευπάθειες στον Microsoft Exchange Server αναλύθηκαν τον περασμένο μήνα, όταν η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για να αποτρέψει την εκμετάλλευση των ευάλωτων συστημάτων.
Δείτε επίσης: FBI: Αφαιρεί web shells από παραβιασμένους Exchange servers χωρίς να ειδοποιήσει τους ιδιοκτήτες
Πολλοί εγκληματίες του κυβερνοχώρου, συμπεριλαμβανομένων κρατικών hackers και ransomware συμμοριών, έχουν προσπαθήσει να εκμεταλλευτούν ευάλωτους Exchange servers.
Οι ερευνητές ασφαλείας της Sophos, όμως, έχουν εντοπίσει και επιτιθέμενους που προσπαθούν να εκμεταλλευτούν τo ProxyLogon exploit στους Microsoft Exchange Servers, για να εγκαταστήσουν κρυφά ένα Monero cryptominer.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Το Monero δεν έχει τόση αξία όση το Bitcoin, αλλά είναι πιο εύκολο στην εξόρυξη και, κυρίως για τους εγκληματίες στον κυβερνοχώρο. Επιπλέον, παρέχει μεγαλύτερη ανωνυμία, δυσκολεύοντας τον εντοπισμό των ιδιοκτητών ενός πορτοφολιού και των επιτιθέμενων.
Ενώ το cryptomining δεν θεωρείται τόσο τραγικό όσο μια επίθεση ransomware ή η απώλεια ευαίσθητων δεδομένων, εξακολουθεί να αποτελεί μεγάλη ανησυχία για τους οργανισμούς, καθώς πολλοί από αυτούς δεν έχουν εφαρμόσει ακόμα τις ενημερώσεις ασφαλείας της Microsoft και τα συστήματά τους είναι ευάλωτα.
Δείτε επίσης: DearCry ransomware: Στοχεύει unpatched Microsoft Exchange servers
Σύμφωνα με την ανάλυση της Sophos, το Monero wallet του εγκληματία που βρίσκεται πίσω από αυτήν την cryptomining εκστρατεία, άρχισε να λαμβάνει χρήματα από την εξόρυξη στις 9 Μαρτίου, λίγες μέρες μετά την αποκάλυψη των ευπαθειών του Microsoft Exchange Server. Αυτό σημαίνει ότι ο επιτιθέμενος άρχισε να εκμεταλλεύεται αμέσως τα ευάλωτα συστήματα.
Οι επιθέσεις ξεκινούν με μια εντολή PowerShell και καταλήγουν στη λήψη εκτελέσιμων payloads για την εγκατάσταση του Minero miner.
Οι ερευνητές αναφέρουν ότι το εκτελέσιμο φαίνεται να περιέχει μια τροποποιημένη έκδοση ενός εργαλείου που είναι δημόσια διαθέσιμο στο Github. Όταν εκτελείται σε έναν παραβιασμένο server, τα στοιχεία της εγκατάστασης διαγράφονται, ενώ η διαδικασία εξόρυξης εκτελείται στη μνήμη.
Δείτε επίσης: Black Kingdom ransomware: Στοχεύει Microsoft Exchange servers. Η Ελλάδα ανάμεσα στα θύματα
Οι χειριστές των servers που έχουν παραβιαστεί από το cryptomining malware, πιθανότατα δεν θα καταλάβουν ότι υπάρχει κάποιο πρόβλημα. Εκτός και εάν ο εισβολέας γίνει άπληστος με το processing power, οπότε το θύμα θα αντιληφθεί ότι κάτι πηγαίνει στραβά.
Για την προστασία των δικτύων από επιθέσεις που εκμεταλλεύονται τις ευπάθειες του Microsoft Exchange Server, οι οργανισμοί καλούνται να εφαρμόσουν τις ενημερώσεις ασφαλείας, όσο το δυνατόν πιο σύντομα.
Πηγή: ZDNet