Peretas mengeksploitasi kerentanan yang baru-baru ini terlihat pada server email Exchange untuk menanam ransomware. Microsoft telah memperingatkan, sebuah langkah yang menempatkan puluhan ribu server email pada risiko serangan yang merusak.
Dalam tweet Kamis malam, raksasa teknologi itu mengatakan telah mendeteksi jenis baru malware pengenkripsi file yang bernama DoejoCrypt. Atau DearCry – yang menggunakan empat kerentanan yang sama dengan yang tertaut ke grup peretasan baru yang memiliki dukungan dari China bernama Hafnium.
Ketika terangkai dengan baik, kerentanan memungkinkan peretas untuk mengambil kendali penuh atas sistem yang rentan.
Microsoft mengatakan Hafnium adalah kelompok “utama” yang mengeksploitasi kekurangan ini, kemungkinan besar untuk spionase dan pengumpulan intelijen. Tetapi perusahaan keamanan lain mengatakan mereka telah melihat kelompok peretas lain mengeksploitasi kelemahan yang sama. ESET mengatakan setidaknya 10 grup secara aktif membahayakan server Exchange.
Michael Gillespie, pakar ransomware yang mengembangkan alat dekripsi ransomware. Mengatakan banyak server Exchange yang rentan di AS, Kanada, dan Australia telah terinfeksi DearCry.
Eengeksploitasi server mail Exchange bertujuan menanam virus ransomware
Ransomware baru datang kurang dari sehari setelah peneliti keamanan menerbitkan kode eksploitasi bukti konsep untuk kerentanan terhadap GitHub milik Microsoft. Kode tersebut segera mereka hapus beberapa saat kemudian karena melanggar kebijakan perusahaan.
Marcus Hutchins, seorang peneliti keamanan di Kryptos Logic, mengatakan dalam sebuah tweet bahwa kode itu berfungsi, meskipun dengan beberapa perbaikan.
Perusahaan intelijen RiskIQ mengatakan telah mendeteksi lebih dari 82.000 server yang rentan pada hari Kamis, tetapi jumlahnya menurun. Perusahaan tersebut mengatakan ratusan server milik bank dan perusahaan perawatan kesehatan masih terpengaruh, serta lebih dari 150 server di pemerintah federal AS.
Itu penurunan yang cepat jika membandingkan dengan hampir 400.000 server yang rentan ketika Microsoft pertama kali mengungkapkan kerentanan pada 2 Maret, kata perusahaan itu.
Microsoft menerbitkan perbaikan keamanan minggu lalu, tetapi tambalan tersebut tidak mengeluarkan peretas dari server yang sudah tersusupi. Baik FBI dan CISA, unit penasihat keamanan siber pemerintah federal, telah memperingatkan bahwa kerentanan menghadirkan risiko besar bagi bisnis di seluruh Amerika Serikat.
John Hultquist, wakil presiden analisis di unit intelijen ancaman Mandiant FireEye, mengatakan dia mengantisipasi lebih banyak kelompok ransomware yang mencoba menguangkan.
Meskipun banyak dari organisasi yang masih belum ditambal mungkin telah dieksploitasi oleh pelaku spionase dunia maya.
Operasi ransomware kriminal dapat menimbulkan risiko yang lebih besar karena mengganggu organisasi dan bahkan memeras korban dengan merilis email yang dicuri.
kata Hultquist.