Exchange

I server di Exchange sotto attacco hacker

Un gruppo di hacker sta sfruttando alcune vulnerabilità dei server di Exchange per inoltrare ransomware
I server di Exchange sotto attacco hacker FASTWEB S.p.A.

Alcuni hacker stanno sfruttando delle vulnerabilità scoperte di recente nei server di posta elettronica di Exchange per diffondere ransomware, ha avvertito Microsoft, una mossa che mette decine di migliaia di server di posta a rischio di attacchi distruttivi.

In un tweet di giovedì scorso, il gigante della tecnologia ha affermato di aver rilevato il nuovo tipo di malware per la crittografia dei file chiamato DoejoCrypt - o DearCry - che utilizza le stesse quattro vulnerabilità che Microsoft ha collegato a un nuovo gruppo di hacker cinesi chiamato Hafnium.

Quando concatenate, le vulnerabilità consentono ad un hacker di assumere il pieno controllo di un sistema.

Microsoft ha affermato che Hafnium è stato il gruppo "principale", ad aver sfruttato questi difetti, probabilmente per lo spionaggio e la raccolta di informazioni. Ma altre società di sicurezza hanno rivelato di aver indagato su altri gruppi di hacker in grado di sfruttare gli stessi difetti. ESET ha affermato che almeno 10 gruppi stanno attivamente compromettendo i server Exchange.

Michael Gillespie, un esperto di ransomware che sviluppa strumenti di decrittografia dei ransomware, ha affermato che molti server Exchange vulnerabili negli Stati Uniti, in Canada e in Australia sono stati infettati da DearCry.

Questa notizia arriva meno di un giorno dopo che un ricercatore di sicurezza ha pubblicato un codice di exploit per le vulnerabilità su GitHub. Il codice è stato rapidamente rimosso poco tempo dopo per aver violato le politiche dell'azienda.

Marcus Hutchins, un ricercatore di sicurezza presso Kryptos Logic, ha postato in un tweet che il codice ha funzionato, anche se con alcune correzioni.

La società di intelligence sulle minacce informatiche, RiskIQ, afferma di aver rilevato oltre 82.000 server vulnerabili a partire da giovedì, ma che il numero è in calo. La società ha affermato che centinaia di server appartenenti a banche e aziende sanitarie sono ancora interessati, così come più di 150 server nel governo federale degli Stati Uniti.

Si tratta di un rapido calo rispetto ai quasi 400.000 server vulnerabili di quando Microsoft ha rivelato per la prima volta le vulnerabilità il 2 marzo, ha affermato la società.

Microsoft ha pubblicato correzioni di sicurezza la scorsa settimana, ma le patch non riescono ad espellere gli hacker dai server già violati. Sia l'FBI che il CISA, l'unità di consulenza per la sicurezza informatica del governo federale, hanno avvertito che le vulnerabilità rappresentano un grave rischio per le aziende negli Stati Uniti.

John Hultquist, vice presidente dell'unità di intelligence di FireEye sulle minacce Mandiant, ha affermato di prevedere che saranno molti, i gruppi di ransomware che verranno inviati. "Sebbene molte delle organizzazioni ancora prive di patch possano essere state sfruttate da esperti di spionaggio informatico, le operazioni di ransomware criminali possono rappresentare un rischio maggiore, in quanto interrompono il lavoro delle società ed estorcono denaro alle vittime", ha affermato Hultquist.

Fonte: techcrunch.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail