Ransomware是针对易受攻击的Microsoft Exchange服务器

这Microsoft Exchange攻击使用Proxylogon漏洞，先前与恶意Web shell的丢弃相关联，正在采用勒索软件扭曲。到目前为止，游戏的名称已成为妥协和数据exfiltation，侧面有点隐蔽。

总结一下：在十天内，我们已经从一个国家演员的“有限和有限和有针对性的攻击”，以多个团队对具有弱势服务器的人的群体来无数攻击。在一周的空间中，严重程度从未使用的Web Shell到勒索软件升级。取决于修补的摄取方式，这可能再次进化。

这种枢轴到勒索软件的危险是潜在目标的纯粹数量。毋庸置疑，这是你的必要条件安装Exchange更新需要保持系统免受伤害。

问题的规模

Internet Intelligence Group Shadowserver试图通过扫描互联网攻击机器来量化公开的Exchange服务器的问题。

它已经结论了两次惊人的结论。第一个是那个多达68,500台服务器可能已被所谓的铪威胁演员妥协前Microsoft发布了交换零天的修补程序。

分布的总数据集包含超过68500个不同的IP地址。在这些IP地址中，高确定性，8911 IP地址受到损害。但是，报告中包含的剩余IP地址也非常可能受到损害，因为它们在Microsoft公开发布的修补程序以进行交换之前与OWA 0日漏洞为目标。

第二次洞察力，就是在其最近扫描的时候，三天前，64,088个独特的IP地址被评估为“仍然存在公开了Microsoft Exchange Server漏洞“。据该集团称，美国拥有迄今为止最大的弱势服务器，近17,500人。

本集团的研究合作伙伴，荷兰脆弱性泄露研究所，分别报告近20％的250,000台服务器它扫描很脆弱。

你将其切片的方式，那里还有很多脆弱的交换服务器，历史表明它将需要相当长的时间来修补它们。

随着那种方式：究竟是什么，是勒索枫仓到这个最新一轮的Proxylogon攻击？

介绍Deakcry Ransomware.

在手动运行Dearcry Ransomware之前，Bad Actors现在正在使用Exchange exproits来进入网络。

微软观察了一个新的人类经营赎金软件攻击客户 - 被检测为赎金：Win32 / doejocrypt.a。人类操作的赎金软件攻击正在利用Microsoft Exchange漏洞利用客户。#dearcry.@msftsecintel.

- Phillip Misner（@Phillip_misner）2021年3月12日

这是交换剥削变得有效的指标。多年来，有针对性的赎金软件攻击一直是同义词RDP端口的野蛮攻击。这是一个如此普遍的策略，很容易忘记犯罪分子只是使用最简单的进入方法。

BleepingComputer首次报告的勒索软件已被称为“亲爱的“，因为它使用”Deakcry！“作为每个加密文件中的文件标记。

必威平台APPMalwarebytes和Microsoft都独立确认了Proxylogon是迪茨克利的条目向量。

在撰写本文时，似乎没有付款恕不另行付款。常见的是，预防比治愈更好，但如果您已被攻击成功，您将希望您能够获得您的场外备份并将灾难恢复计划提供到位。

DeAdcry使用AES-256和RSA-2048加密的组合，并给出加密文件.Crypt.延期。一旦加密，将部署不可避免的赎金笔记，作为一个调用的文件Readme.txt.。

您的文件已加密！如果要解密，请联系我们。■■■■■■■■■/ @Airmail.cc或■■■■■■■■■@ memail.com，请寄给我以下哈希！■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

通过备份和计划将它们恢复到位，受害者可以选择忽略攻击者并继续正常进行。但是，损坏文件的可能副本仍保留在赎金制品作者的手中。这就是你如何进一步泄漏线路。

根据Blepleing Computer，a需求量为16,000美元是一个受害者的安全解密。在此阶段没有足够的信息可以确定$ 16,000是否是Deakcry攻击的速度，或者如果对所要求的金额有一些方差。

确定的是其他赎金软件团伙将令人愉快地收取大量的总和，如果Exchange剥削证明比RDP访问更容易，他们将使用它。

是时候更新了

如果您还没有修补系统，请立即这样做并搜索您的系统以符合妥协的迹象。

必威平台APPMalwareBytes检测种植在构成的Exchange服务器上的Web Shell后门.Hafnium.。当勒索软件仍然未知时，Deakcry攻击将被主动地检测为Malware.Ransom.Agent.generic。

好更新我们第一篇文章中的时间表在这一主题中，随着更多的发展和新信息来阐明。

妥协指标（IOC）

• FEB3E6D30BA573BA23F3BD1291CA173B7879706D1FE039C34D53A4FDCDF33EDE.
• E044D9F2D0F1260C3F4A543A1E67F33FCAC265BE114A1B135FD575B860​​D2B8C6
• 10BCE0FF6597F347C3CCA8363B7C81A8BFF52D2FF81245CD1E66A6E11AEB25DA
• 2B9838DA7EDB0DECD32B086E47A31E8F5733B5981AD8247A2F9508E232589BFF