Hacker Menargetkan Server Microsoft Exchange Dengan Ransomware
Tidak butuh waktu lama. Badan intelijen dan peneliti keamanan siber telah memperingatkan bahwa Exchange Server yang tidak ditambal dapat membuka jalur ransomware setelah eskalasi serangan yang sejak minggu lalu.
Sekarang tampaknya pelaku ancaman telah menyusul.
Menurut laporan terbaru , Cyber Crime memanfaatkan Celah ProxyLogon Exchange Server yang dieksploitasi untuk memasang jenis ransomware baru yang disebut "DearCry."
"Microsoft mengamati Client serangan ransomware - terdeteksi sebagai Ransom: Win32/DoejoCrypt.A," Microsoft peneliti Phillip Misner tweeted . "Serangan ransomware yang dioperasikan oleh Hacker memanfaatkan Celah Microsoft Exchange untuk mengeksploitasi."
Tim intelijen keamanan Microsoft, dalam tweet, mengkonfirmasi bahwa mereka telah mulai "memblokir ransomware yang digunakan setelah penyusupan awal Server Exchange lokal yang belum dipath."
Firma keamanan Kryptos Logic mengatakan telah mengidentifikasi sekitar 6.970 webshell yang terpapar, beberapa di antaranya digunakan untuk menginfeksi server yang disusupi dengan ransomware DearCry, menunjukkan bahwa kelompok Cyber Crime lainnya menanamkan backdoor webshell pertama yang ditanam oleh aktor ancaman Hafnium untuk dipasang malware tambahan pilihan mereka.
Memanggil DearCry ransomware, Sophos Director Mark Loman mengatakan strain tersebut membuat salinan terenkripsi dari file yang diserang menggunakan enkripsi yang tertanam dalam binery ransomware dan menghapus versi aslinya, sehingga memungkinkan korban untuk "berpotensi memulihkan beberapa data" karena perilaku enkripsi ini.
"Pembela HAM harus segera mengambil langkah untuk menutup celah Microsoft untuk mencegah eksploitasi, path Microsoft Exchange mereka. Jika ini tidak memungkinkan, server harus diputus dari internet atau dipantau secara ketat oleh tim tanggapan ancaman," kata Loman.
Dalam penasehat bersama yang diterbitkan oleh keamanan cyber (Cybersecurity) dan Infrastructure Security Agency (CISA) AS dan Biro Investigasi Federal (FBI), badan-badan tersebut memperingatkan bahwa "musuh dapat mengeksploitasi Celah ini untuk menyusupi jaringan, mencuri informasi, mengenkripsi data untuk tebusan, atau bahkan melakukan serangan yang merusak. "
Persenjataan yang berhasil dari celah/kerentanan ini memungkinkan penyerang untuk mengakses Exchange Server korban, memungkinkan mereka untuk mendapatkan akses sistem yang persisten dan kontrol dari jaringan perusahaan. Dengan ancaman ransomware baru, Server yang belum dipath tidak hanya berisiko terhadap potensi pencurian data tetapi juga berpotensi dienkripsi, mencegah akses ke email organisasi.
Penghapusan PoC Dari GitHub Memicu Debat
Sementara itu, ketika Hacker dan Cyber Crime berkumpul untuk memanfaatkan kelemahan ProxyLogon, proof of concept code (PoC) yang dibagikan di GitHub milik Microsoft oleh seorang peneliti keamanan telah dihapus oleh perusahaan, mengutip bahwa exploit sedang aktif.
Dalam sebuah pernyataan kepada Vice , perusahaan tersebut mengatakan, "Sesuai dengan Kebijakan Penggunaan yang Dapat Diterima , kami menonaktifkan inti dari laporan berikut yang berisi proof of concept code (POC) untuk celah/kerentanan yang baru-baru ini diungkapkan yang sedang dieksploitasi secara aktif."
Langkah tersebut juga memicu perdebatannya sendiri, dengan para peneliti berpendapat bahwa Microsoft "membungkam peneliti keamanan" dengan menghapus PoC yang dibagikan di GitHub.
"Ini sangat besar, menghapus code peneliti keamanan dari GitHub terhadap produk mereka sendiri dan yang telah dipath," kata Dave Kennedy dari TrustedSec. "Itu adalah PoC, bukan eksploitasi yang berfungsi - tidak ada PoC yang memiliki RCE. Bahkan jika demikian, itu bukan panggilan mereka pada saat waktu yang tepat untuk merilis. Ini adalah masalah dalam produk mereka sendiri, dan mereka membungkam peneliti keamanan itu. "
Hal ini juga digaungkan oleh peneliti Google Project Zero Tavis Normandy.
"Jika kebijakan sejak awal tidak ada PoC /metasploit/etc - itu akan payah, tapi itu layanan mereka," kata Normandy dalam tweet. "Sebaliknya mereka mengatakan OK, dan sekarang menjadi standar bagi profesional keamanan untuk berbagi code, mereka telah memilih diri mereka sendiri sebagai penengah dari apa yang 'bertanggung jawab.
Tetapi membalas Kennedy di Twitter, peneliti keamanan Marcus Hutchins berkata "'Telah ditambal.' Sobat, ada lebih dari 50.000 server pertukaran yang belum ditambal di luar sana. Merilis RCE yang siap pakai bukanlah riset keamanan, itu kecerobohan dan kebodohan. "
Jika ada, serangan harus berfungsi sebagai peringatan untuk mempath semua versi Exchange Server sesegera mungkin, sementara juga mengambil langkah untuk mengidentifikasi tanda-tanda indikator kompromi yang terkait dengan peretasan