Microsoft nimitti uuden rintaman meneillään olevissa ransomware -hyökkäyksissä - SharePoint -palvelimissa.Turvallisuustiimit kohtaavat rikkomukset sen jälkeen, kun kiinalainen hakkerointiryhmä, Storm-2603, aloittivat hyödyntämisen nollapäivän haavoittuvuuksiin SharePoint-käyttöönottoissa viime viikolla.
Warlock ja Lockbit Ransomware ovat nyt kääntyneet vaarantuneisiin järjestelmiin, silmiinpistäviä organisaatioita ympäri maailmaa. Microsoft seurasi yli 420 SharePoint -palvelinta, jotka jäivät paljaiksi verkossa, ja Shadowserverin mukaan suurin osa on haavoittuvainen myös sen jälkeen, kun työkalunsuuntainen hyväksikäyttöketju oli pudonnut korjaustiedostot.
Kun Storm-2603-operaattorit pääsevät sisälle, he käyttävät Mimikatzin kaltaisia työkaluja vetääkseen käyttäjän käyttöoikeustiedot suoraan muistista. He liikkuvat verkojen yli PSEXEC: n ja Impacketin avulla, muokkaa ryhmäkäytäntöjä ja lyövät koneita Warlock Ransomware -sovelluksella vain muutaman vaiheen jälkeen. Microsoftin raportissa esitetään hyökkäyskuvio ja kehottaa kaikkia SharePoint-paikan päällä toimittamista päivittämään välittömästi.
Muut viimeaikaiset Microsoft News -
Silmien turvallisuusraportit, että kampanja on jo saanut tartunnan vähintään 400 palvelinta ja rikkonut 148 organisaatiota. Uhreihin kuuluvat liittovaltion virastot, heidän keskuudessaan Yhdysvaltain kansallinen ydinturvallisuushallinto yhdessä koulutusministeriön, Rhode Islandin yleiskokouksen, Floridan tuloosaston sekä Euroopan ja Lähi -idän kansallisten hallitusten kanssa.
CISA merkitsi siihen liittyvän CVE-2015-53770 -virheen välittömään korjaamiseen ja varoitti valtion virastoja turvaamaan järjestelmät päivän kuluessa.
Suositeltu lukeminen:Alibaba vahvistaa AI -kumppanuuden Applen kanssa iPhonille Kiinassa
Tutkijoiden mukaan jotkut palvelimet ovat vaarantuneet viikkoja. Vaikka Microsoft ei ole asettanut numeroa arkaluontoiseen tietojen menetykseen, asteikko ja ajoitus osoittavat, että hyökkääjät liikkuivat nopeasti, kun se käytti.
Storm-2603: n Playbook: Skannaa purkamattomia järjestelmiä, käyttää tuoreita reikiä siirtyäksesi sisään, tarttuaksesi käyttöoikeustietoihin, uudelleensijoittamaan työkaluja ja levittääksesi ransomware-ohjelmaa muutamalla PowerShell-komennolla.MicrosoftinOhjeet eivät ole seuranneet palautuksia, vain tylsä puhelu päivitysten asentamiseksi nopeasti ja noudattamaan tiivistettyjä lieventämisvaiheita sen blogista.
Voit myös olla kiinnostunut lukemaan -
