Een tikkende tijdbom

Wereldwijd zijn honderdduizenden organisaties die gebruik maken van Microsoft Exchange servers massaal gehackt. Op iedere gehackte server is een “web shell” backdoor geplaatst dat kwaadwillenden de complete controle over de systemen geeft op afstand. Hierdoor krijgen de kwaadwillenden de mogelijkheid om alle e-mails te lezen en eenvoudige toegang tot andere computers van de slachtoffers. Veel security onderzoekers zijn nu bezig om zo snel mogelijk de slachtoffers te identificeren, alarmeren en te helpen om ernstigere schade op tijd te voorkomen.

Op 5 maart ging het volgens bronnen om al om honderdduizenden organisaties wereldwijd. Deze bronnen geven nu aan dat de lijst met slachtoffers aanzienlijk is gegroeid, waarvan veel slachtoffers zijn gecompromitteerd door meerdere groepen van cybercriminelen.

Security experts proberen op dit moment slachtoffers te alarmeren en te helpen voordat de kwaadaardige hackers over gaan op “Stage 2,” wanneer de kwaadwillenden alle gehackte servers opnieuw bezoeken om ransomware in te zetten op deze servers of andere hacking tools uit te rollen om dieper in het netwerk van de slachtoffers te komen.

De reddingspogingen worden gedwarsboomd door het enorm grote volume aan aanvallen op deze Exchange kwetsbaarheden en het aantal verschillende unieke hackergroepen die strijden met elkaar over de controle van kwetsbare systemen.

Een security expert geeft aan dat er bij veel slachtoffers meer dan 1 backdoor is geïnstalleerd. Sommige hadden 3 verschillende web shells in hun omgeving. Er is er zelfs één gezien met 8 verschillende web shell backdoors. Hierdoor waren de lijsten met potentiële slachtoffers eerst groter, omdat slachtoffers op meerdere lijsten voorkwamen wanneer er meerdere backdoors waren geïnstalleerd.

Een anonieme bron gaf bij KrebsOnSecurity aan dat velen in de cybersecurity community een grote toename zagen in aanvallen op duizenden Exchange servers die later gelinkt waren een groep cybercriminelen die uit zijn op winst.

“Wat wij dachten dat Stage 2 was, was in werkelijkheid een criminele groep die 10.000 Exchange servers aan het overnemen was,” gaf één van de bronnen aan bij KrebsOnSecurity.

Op 2 maart bracht Microsoft patches uit voor de 4 zero-day Exchange kwetsbaarheden, welke wij hadden vermeld in het volgende artikel. Waarin de hacking activiteiten werden toegewezen aan een nog onbekende Chinese staat gesponsorde threat actor Hafnium, waarbij het ging om gelimiteerd en doelgerichte aanvallen op specifieke doelwitten.

Vanaf 26 februari veranderde deze relatief onder de radar gebleven activiteiten in het massief misbruiken van de kwetsbaarheid bij alle Exchange servers. Dit betekent dat wanneer je de patch dezelfde dag had doorgevoerd toen Microsoft deze had uitgebracht, de Exchange servers al voorzien hadden kunnen zijn met backdoors.

Volgens verschillende experts kan dit gekomen zijn dat ze op de één of andere manier te weten zijn gekomen dat Microsoft van plan was om de patches een week eerder uit te brengen dan Patch Tuesday.

Ook is er een grote toename geweest aan vulnerability scanning activiteiten, nadat de patches van Microsoft beschikbaar waren. Een grote zorg hierbij is dat verschillende groepen cybercriminelen onafhankelijk van elkaar hebben uitgevonden hoe ze misbruik kunnen maken van de kwetsbaarheid.

Ransomware voorkomen

Veel security experts proberen nu tienduizenden slachtoffers te bereiken met een enkel bericht: Het maakt niet uit of je al gepatcht hebt of bent gehackt, maak direct een back-up van alle data dat is opgeslagen op deze servers.

Alle bronnen waar KrebsOnSecurity mee gesproken heeft, geven aan dat ze verwachten dat cybercriminelen die winst willen maken op grote schaal ransomware zullen uitrollen. Verschillende groepen hebben backdoor web shells geïnstalleerd, waarmee ransomware kan uitgerold worden. Ook kunnen deze servers dienen als een virtuele ingang naar de rest van het netwerk van het slachtoffer.

“Nu het aantal verschillende threat actors die web shells uitrollen op servers toeneemt, is ransomware onvermijdelijk,” geeft Allison Nixon, chief research officer at Unit221B aan.

Op dit moment zijn er nog geen signalen dat slachtoffers van deze massale hack last hebben van ransomware, maar dit kan veranderen wanneer de exploit code publiekelijk bekend wordt. Niemand waar KrebsOnSecurity mee heeft gesproken denkt eraan dat het nog lang gaat duren voordat deze exploit code publiekelijk bekend is.

Als dit gebeurt dan komen de exploits in publiekelijk beschikbare exploit testtools, waarmee het nog eenvoudiger wordt voor iedere aanvaller om slachtoffers te vinden en te compromitteren die op dat moment nog geen patches hebben doorgevoerd.

CHECK MY OWA

Nixon samen met een groep securityindustrie leiders dragen bij met data en tijd aan een nieuwe slachtoffers notificatie platform genaamd Check My OWA (Outlook Web Acces, het naar het internet gerichte web component van Exchange servers).

Afbeelding: KrebsOnSecurity

 

Het betreft hier een notificatie dienst, waarbij iemand van een organisatie die gebruik maakt van Exchange servers kan controleren of dit domein overeenkomt met een organisatie die geïdentificeerd is als slachtoffer, waarna het ingevulde e-mailadres een notificatie hiervan krijgt.

Nixon hoopt hiermee dat organisaties hiermee op de hoogte zijn dat ze slachtoffer zijn om de juiste acties te kunnen nemen.

Het volgende bericht kunnen slachtoffers krijgen: “Malicious actors were able to successfully compromise, and some of this information suggested they may have been able to install a web shell on an Exchange server associated with this domain,” zegt een van de berichten aan de slachtoffers. “We strongly recommend saving an offline backup of your Exchange server’s emails immediately, and refer back to the site for additional information on patching and remediation.”

Exchange gebruikers kunnen zich volgens Nixon redden van een mogelijk “nachtmerrie” scenario wanneer van ieder kwetsbaar systeem nu een back-up wordt gemaakt. Met het grote aantal groepen die zich richten op niet gepatchte Exchange servers, zal dit voor sommige slachtoffers in een drama eindigen.

Er zijn onderzoekers die gebruik maken van honeypots om aanvallen van verschillende groepen uit te lokken en deze honeypots worden hard geraakt. Hoe eerder een back-up gemaakt kan worden, hoe beter dit is.

Het belangrijkst hieraan is dat deze back-ups nergens aan verbonden zijn. Ransomware kan alles infecteren wat mogelijk is, daarom moet er minimaal 1 back-up compleet offline bewaard worden.

“Koppel deze back-up los van een computer, bewaar ze op een veilige plek en bid dat je ze niet nodig hebt,” zegt Nixon.

Advies

Er wordt geadviseerd aan iedereen die dit nog niet gedaan heeft om alsnog de uitgebrachte updates KB5000871 zo snel mogelijk te installeren.

Eén of meerdere back-up(s) te maken van alle kwetsbare Exchange servers en hiervan tenminste 1 back-up offline te bewaren.

Controleer ook de kwetsbare systemen op de aanwezigheid van 1 of meerdere “web shell” backdoors.

Maak gebruik van Check My OWA wanneer je niet weet of je organisatie slachtoffer is en hiermee kun je daarvan op de hoogte worden gesteld.

Het is belangrijk dat er nu actie wordt ondernomen voordat de verschillende groepen van cybercriminelen over gaan op het gebruik van ransomware of andere hacking tools in “Stage 2”.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft
Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Gerelateerde berichten

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

phishing

UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Android malware

Nieuwe wormachtige Android malware verspreid zich via WhatsApp

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

drie × vijf =

Menu