Разделы

Безопасность Бизнес

Хакеры шифруют данные клиентов Microsoft Exchange и требуют выкуп

Опасения в том, что недавние уязвимости нулевого дня в Microsoft Exchange спровоцируют волну атак шифровальщиков, высказывались давно, и вот такой шифровальщик появился. Между тем, Microsoft удалила экспериментальный эксплойт к уязвимостям из GitHub, что привело к скандалу.

Ждали и дождались

Появился первый шифровальщик, прицельно атакующий недавно раскрытые уязвимости в Microsoft Exchange. В частности, 2 марта 2021 г. Microsoft опубликовала внеочередные исправления для четырех багов нулевого дня, из которых наиболее опасной является CVE-2021-26855, также известная как ProxyLogon. К тому времени злоумышленники уже активно пользовались этими уязвимостями, что и потребовало принятия экстренных мер.

Опасения, что эти уязвимости могут использоваться для распространения шифровальщиков, высказывались с самого начала. Теперь это стало реальностью: с 9 марта в систему идентификации шифровальщиков ID-Ransomware начали загружать сэмплы нового вредоноса и прилагающиеся записки с требованием выкупа, обнаруженные на серверах Exchange.

Шифровальщик был идентифицирован как Ransom:Win32/DoejoCrypt.A или DearCry. Его загрузка на уязвимые серверы, по всей видимости, производилась вручную.

Шифровальщик Dearcry начал атаковать уязвимости в Microsoft Exchange

Как отмечается в материале издания Bleeping Computer, шифровальщик использует алгоритмы AES-256 + RSA-2048. Все зашифрованные файлы снабжаются расширением CRYPT, в самом начале содержимого каждого файла появляется слово DEARCRY! (с восклицательным знаком в конце). Как минимум у одной жертвы злоумышленники потребовали $16 тыс.

По данным компании Palo Alto Networks, за последние несколько дней обновления, исправляющие уязвимости, были установлены на несколько десятков тысяч серверов Exchange. К сожалению, существуют также другие десятки тысяч серверов — старых, которые не могут получить обновления напрямую.

В Palo Alto рекомендуют рассматривать любой необновленный сервер как заведомо скомпрометированный, пока не доказано обратное: между началом практических атак и выпуском патчей прошли не менее двух месяцев.

К настоящему времени известно о десятках тысяч организаций, в той или иной степени пострадавших от атак на Exchange, в их числе парламент Норвегии и Европейское банковское управление. Microsoft указала, что активнее всего уязвимости эксплуатирует группировка Hafnium, предположительно связанная с китайскими спецслужбами. Но и десятки киберпреступных группировок — Tick, LuckyMouse, Calypso, Tonto Team, Mikroceen, Winnt iGroup и др. — в настоящий момент продолжают охоту на уязвимые серверы Exchange.

Позаботились, спасибо

Дополнительный скандал разгорелся в середине марта 2021 г., когда стало известно, что вьетнамский эксперт по информационной безопасности Нгуен Чан (Nguyen Jang) опубликовал на GitHub код экспериментального эксплойта к уязвимости CVE-2021-26855 в Exchange, а администрация сервиса его моментально удалила, ссылаясь на то, что эксплойт представляет практическую угрозу для клиентов Microsoft.

Дмитрий Удод, «Ингосстрах»: Роботы трудятся круглосуточно и с постоянным уровнем качества
Цифровизация

GitHub принадлежит Microsoft. Другие репозитории, на которых Нгуен Чан разместил свой код, не стали предпринимать никаких мер против него. Решение руководства GitHub или Microsoft удалить код не вызвало никакого энтузиазма у других экспертов по безопасности, поскольку, во-первых, оно мало соотносится с правилами GitHub (другие PoC-эксплойты встречаются там в изобилии), а во-вторых, потому, что никакого собственно вредоносного содержания в коде Нгуена Чана нет.

Представители GitHub, однако, отступаться от своего решения не намерены: в качестве причины удаления кода они назвали тот факт, что речь идет о «недавно раскрытой и активно эксплуатируемой уязвимости».

Другие эксперты отметили, что код Чана работоспособен только при некоторых изменениях в нем. То есть, реальная опасность самого эксплойта не слишком высока.

«Озабоченность проблемой со стороны Microsoft понятна, но это совершенно не повод подавлять распространение информации и кода, который они, кстати, и не стали бы удалять, не касайся дело их собственных разработок, — указывает Алексей Водясов, технический директор компании SEC Consult Services. — Более того, для той же уязвимости на GitHub опубликованы и другие PoC-эксплойты, и их удалять не стали. Почему санкциям подвергся код вьетнамского эксперта, непонятно. В любом случае, правила GitHub не запрещают размещать подобные вещи в его репозиториях, а произвольное удаление под каким бы то ни было благовидным предлогом весьма негативно сказываются на взаимоотношениях между экспертным сообществом и Microsoft».

Роман Георгиев