Обнаружена вторая волна успешных атак на сервера Microsoft Exchange

Множество серверов с программным обеспечением (ПО) Microsoft Exchange захвачены хакером-вымогателем, 13 марта сообщает американское издание об информационных технологиях Ars Technica.

Компания в области кибербезопасности Kryptos Logic обнаружила 12 марта около 7 тыс. веб-оболочек, развернутых на серверах с ПО Exchange и представляющих собой бэкдор — средство для осуществления несанкционированного доступа.

Особенностью выявленных серверов стало то, что ранее они подвергались атаке хакерской группы Hafnium. Дальнейшее исследование ситуации показало, что веб-оболочку развертывала группа Hafnium, но она используется хакерами для доставки на сервера новой разновидности троянской программы-вымогателя.

Троянскую программу назвали Win32/DoejoCrypt.A или DearCry. Второе имя попросту было обнаружено в коде программы. Программа была развернута лишь на части из обнаруженных серверов. Точная цифра пока не называется.

Новый штамм трояна-вымогателя использует ассиметричное шифрование пользовательских файлов и содержит открытый ключ прямо в коде. Такой подход не дает возможности расшифровать файлы без наличия закрытого ключа, поэтому наличие открытого ключа ничего не дает. С другой стороны, трояну не требуется удаленное управление, а специалистам по кибербезопасности сложнее выявить злоумышленника.

По косвенным признакам, в частности, ручной установке экземпляров нового трояна на сервера, специалисты предположили, что действует хакер-одиночка. Однако в этом инциденте они видят более серьезную угрозу, когда развернутую Hafnium инфраструктуру используют злоумышленники второй волны и наносят дополнительный ущерб многим организациям и ведомствам.

Напомним, хакерская группа Hafnium взломала порядка 60 тыс. серверов через уязвимость нулевого дня в Microsoft Exchange Server. Пострадали компании и государственные организации по всему миру. Компания Microsoft сообщила о волне взломов 2 марта и обвинила власти Китая в поддержке Hafnium.