CCCS: DearCry Ransomware wird genutzt, um Sicherheitslücken in Microsoft Exchange auszunutzen

Kanadische Computernetzwerke waren laut dem kanadischen Zentrum für Cybersicherheit (CCCS) stark betroffen, als der Exchange-E-Mail-Dienst von Microsoft Anfang dieses Monats gehackt wurde.

Auf der Website der Agentur heißt es außerdem, dass eine neue Ransomware-Variante namens DearCry derzeit "von Akteuren genutzt wird, die die kürzlich offenbarten Exchange-Schwachstellen ausnutzen".

"Diese Sicherheitslücken werden genutzt, um im Netzwerk eines Unternehmens für böswillige Aktivitäten Fuß zu fassen, zu denen unter anderem Ransomware und die Exfiltration von Daten gehören", heißt es in dem Update.

Der erste Hack wurde von Microsoft Corporate Vice President Tom Burt in einem Blogbeitrag von Anfang dieses Monats angekündigt, als Burt zum Ausdruck gebracht hatte, dass das Unternehmen große Schwachstellen in seiner Exchange-Software entdeckt habe. Microsoft hat das chinesische Team Hafnuim als die für den Angriff verantwortliche Hacking-Gruppe anerkannt.

Obwohl Hafnuim möglicherweise in China ansässig ist, sagt Burt, dass es "seine Operationen hauptsächlich von geleasten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus betreibt".

Als Reaktion auf den Angriff veröffentlichte Microsoft mehrere "Patches" für Sicherheitsupdates für verschiedene Versionen von Exchange, einschließlich älterer und veralteter Versionen.

Derzeit empfiehlt Microsoft Exchange Server-Kunden nachdrücklich, die neu veröffentlichten Updates sofort anzuwenden. Laut dem Blog-Beitrag "wird Exchange Server hauptsächlich von Geschäftskunden verwendet, und wir haben keine Beweise dafür, dass die Aktivitäten von Hafnium auf einzelne Verbraucher abzielen oder dass diese Exploits Auswirkungen auf andere Microsoft-Produkte haben."

Über 20.000 US-Organisationen sind von Microsoft Exchange Hack betroffen

In den USA behauptete die Pressesprecherin des Weißen Hauses, Jen Psaki, auf einer Pressekonferenz am 5. März, dass der Hack "weitreichende Auswirkungen" haben könnte.

"Wir sind besorgt, dass es eine große Anzahl von Opfern gibt, und arbeiten mit unseren Partnern zusammen, um den Umfang dieses Problems zu verstehen. Es ist also ein fortlaufender Prozess", sagte Psaki gegenüber Reportern.

Aber schon in den frühen Phasen dieses Prozesses konnte ein Insider der US-Regierung an Reuters weitergeben, dass mehr als 20.000 US-amerikanische Organisationen bei dem Verstoß kompromittiert wurden.

Der frühere Direktor der US-amerikanischen Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), Christopher Krebs, bezeichnete die Verletzung auf Twitter als "verrückten Riesenhack".

This is a crazy huge hack. The numbers I've heard dwarf what's reported here & by my brother from another mother (@briankrebs). Why, though? Is this a flex in the early days of the Biden admin to test their resolve? Is it an out of control cybercrime gang? Contractors gone wild? pic.twitter.com/cA4lkS4stg

— Chris Krebs (@C_C_Krebs) March 6, 2021

Krebs machte auch darauf aufmerksam, dass jeder, der glaubt, betroffen zu sein, "wenn Sie es noch nicht getan haben" patchen sollte.