在第一轮攻击中被攻破的Microsoft Exchange服务器正第二次受到勒索软件团伙的感染,沐鸣开户测速该团伙正试图从一系列攻击中获利,这些攻击使世界各地的组织措手不及。
安全研究人员称,被称为“黑王国”、“恶魔”和“恶魔”的勒索软件要求1万美元的赎金来恢复加密数据。该恶意软件安装在Exchange服务器上,这些服务器之前曾被利用微软电子邮件程序的一个关键漏洞的攻击者感染。攻击是在漏洞还处于零日状态时开始的。即使在微软发布了紧急补丁后,仍有多达10万台没有及时安装补丁的服务器受到了感染。
机会敲门
这些攻击背后的黑客安装了一个web shell,让任何知道URL的人都可以完全控制受损的服务器。黑王国上周被安保公司矛尖发现。安全公司Kryptos Logic的安全研究员马库斯·哈钦斯(Marcus Hutchins)周日报告说,恶意软件实际上并没有加密文件。
周二上午,微软威胁情报分析师凯文·博蒙特(Kevin Beaumont)报告称,“黑王国”攻击“确实加密了文件”。
安全公司Arete周一也披露了“黑王国”袭击事件。
黑王国是去年六月被红队安全公司发现的。该勒索软件控制的服务器未能修补Pulse VPN软件的一个关键漏洞。《黑色王国》也在去年初亮相。
Emsisoft的安全分析师卡洛(Brett Callow)说,沐鸣开户测速目前还不清楚为什么最近的一次“黑王国”攻击未能加密数据。
“最初的版本加密了文件,后来的版本只是给它们重命名,”他在一封电子邮件中写道。“目前尚不清楚这两个版本是否正在同时操作。也不清楚他们更改代码的原因——可能是因为重命名(假加密)过程不会被安全产品发现或阻止?”
他补充说,其中一种勒索软件使用了一种加密方法,在很多情况下,这种方法可以在不支付赎金的情况下恢复数据。他要求不要详细说明方法,以防止勒索软件的操作人员修复漏洞。
修补是不够的
Arete和Beaumont都没有说黑王国的攻击是针对尚未安装微软紧急补丁的服务器,还是攻击者只是接管了早先由另一个组织安装的安全状况不太好的web shell。
两周前,微软报告称,另一种名为DearCry的勒索软件正在控制被铪感染的服务器。Hafnium是该公司为首批使用ProxyLogon的中国有政府支持的黑客提供的名称。ProxyLogon指的是一系列完全控制易受攻击的交易所服务器的漏洞。
然而,安全公司SpearTip表示,该勒索软件是在“最初利用了Microsoft exchange的漏洞”后,以服务器为目标的。安装与之竞争的“DearCry”勒索软件的团队也参与了进来。
Politico援引美国国家安全委员会(National Security Council)一位发言人的话称,“黑王国”出现之际,美国易受攻击的服务器数量已降至不足1万台。本月早些时候,大约有12万个脆弱的系统。
后续的勒索软件攻击强调,补丁服务器并不能完全解决Exchange服务器危机。即使服务器收到了安全更新,如果web shell仍然存在,它们仍然可能受到勒索软件的感染。
微软正在敦促那些没有经验丰富的安全人员的受影响组织运行这个一键缓解脚本。