Ny trussel mod Hafnium-ofre: Hackere installerer ransomware

Hackere installerer ransomware på Hafnium-ofres computere via offentlige 'webshells'. Illustration: Bernie123/Bigstock
Ofre for Hafnium-angrebet skal nu kæmpe med en ny trussel mod deres servere. Andre hackere har nemlig udnyttet Hafniums offentlige 'webshells' til kompromitterede mailservere, og nu er kriminelle i gang med at installere ransomware på serverne.

Organisationer, som er ramt af Hafnium-hacket, bliver nu angrebet igen, da en helt ny type ransomware bliver installeret på kompromitterede Exchange-servere.

Det skriver Ars Technica.

I forrige uge kom det frem i lyset, at statssponsorerede hackere har udnyttet en sårbarhed i Microsofts Exchange-software til at bryde ind i titusindvis af mailservere verden over. Gruppen bag hacket bliver kaldt Hafnium.

Den nye type ransomware, som organisationer nu skal kæmpe med, hedder DearCry. Ifølge Marcus Hutchins, sikkerhedsforsker hos sikkerhedsvirksomheden Kryptos Logic, har man fundet 6.970 offentligt tilgængelige ‘webshells’, som oprindeligt er installeret af Hafnium-gruppen. De kan bruges til at sprede ransomware.

Læs også: Alvorlig Exchange-sårbarhed udnyttes i Danmark: »Vi kender ikke omfanget endnu«

Alle, som har URL’en til en af de offentlige ‘webshells’, kan få fuld kontrol over en af de kompromitterede mailservere, og det udnytter DearCry-hackere. Angrebet er menneske-styret, hvilket betyder, at hackerne en efter en installerer ransomware på kompromitterede servere. Det er ikke alle 6.970 servere, som er ramt af DearCry.

Det er ikke tilstrækkeligt sikkert, når ofrene installerer Microsofts lapper til sårbarheden ProxyLogon, for hvis ikke man fjerner ‘webshells’, så er serverne stadig åbne over for angreb.

Ifølge John Hultquist, vicepræsident for sikkerhedsfirmaet Mandiant, så er det hurtigere og mere effektivt at gøre som DearCry-hackerne og udnytte, at andre hackere har banet vejen til et angreb:

»Vi forventer at se flere udnyttelser af Exchange-sårbarheden fra ransomware-aktører i den nære fremtid,« skriver han i en mail til Ars Technica.

Læs også: Stortinget i Norge ramt af Exchange-angreb: Hackere har downloadet data

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere