Tin tặc đang phát tán ransomware nhắm vào máy chủ Microsoft Exchange

[WhiteHat News #ID:2017]

Theo báo cáo mới nhất, tội phạm mạng đang tận dụng các lỗ hổng ProxyLogon trong máy chủ Microsoft Exchange Server để lây nhiễm dòng ransomware mới có tên "DearCry".

Nhà nghiên cứu Phillip Misner của Microsoft cho biết Microsoft đã phát hiện một dòng mã độc tống tiền có tên Ransom:Win32/DoejoCrypt.A đang được khai thác để tấn công khách hàng.

Trong thông báo chung của Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang FBI, hai cơ quan này cảnh báo "kẻ xấu có thể khai thác những lỗ hổng này để xâm nhập mạng, đánh cắp thông tin, mã hóa dữ liệu để đòi tiền chuộc, thậm chí thực hiện một cuộc tấn công hủy diệt".

Khai thác thành công các lỗ hổng cho phép tin tặc truy cập được vào máy chủ Exchange của nạn nhân, có được quyền truy cập liên tục vào hệ thống và chiếm quyền kiểm soát mạng doanh nghiệp. Với mối đe dọa từ dòng ransomware mới, các máy chủ chưa được vá không chỉ đối mặt với nguy cơ bị đánh cắp dữ liệu tiềm ẩn mà còn có khả năng bị mã hóa, ngăn chặn quyền truy cập vào hộp thư của tổ chức.

Mã PoC được chia sẻ trên nền tảng GitHub đã bị Microsoft gỡ xuống với lý do lỗ hổng đang bị khai thác mạnh mẽ trong thực tế.

Các cuộc tấn công diễn ra như gióng hồi chuông cảnh báo cần ngay lập tức vá tất cả các phiên bản của Exchange Server, đồng thời thực hiện các biện pháp xác định dấu hiệu xâm nhập của các vụ tấn công.

Theo Thehackernews​