Κυβερνοασφάλεια: Υπό πολιορκία χιλιάδες διακομιστές email

Πάνω από 10 διαφορετικές ΑΤP επιχειρούν να παραβιάσουν χιλιάδες διακομιστές email, σύμφωνα με την ESET, που δραστηριοποιείται στην κυβερνοασφάλεια

Κυβερνοεπίθεση © 123rf.com

Περισσότερες από 10 διαφορετικές ομάδες APT (advanced persistent threat) εκμεταλλεύονται τις πρόσφατες ευπάθειες του Microsoft Exchange για να παραβιάσουν email servers. Η ESET, που δραστηριοποιείται στην κυβερνοασφάλεια, εντόπισε περισσότερους από 5.000 email servers που έχουν επηρεαστεί από κακόβουλη δραστηριότητα που σχετίζεται με το περιστατικό σε όλον τον κόσμο. Οι servers ανήκουν σε οργανισμούς – επιχειρήσεις και κυβερνήσεις – παγκοσμίως.

Στις αρχές Μαρτίου, η Microsoft κυκλοφόρησε ενημερώσεις (patches) για το Exchange Server 2013, 2016 και 2019 που επιδιορθώνουν μια σειρά ευπαθειών απομακρυσμένης εκτέλεσης κώδικα (RCE). Οι ευπάθειες επιτρέπουν σε έναν εισβολέα να αποκτήσει τον έλεγχο οποιοδήποτε προσβάσιμου Exchange server, χωρίς να χρειάζεται τα διαπιστευτήρια του λογαριασμού, καθιστώντας τους Exchange servers που είναι συνδεδεμένοι στο internet ιδιαίτερα ευάλωτους.

«Την επόμενη ημέρα από την κυκλοφορία των ενημερώσεων, αρχίσαμε να παρατηρούμε πολλούς κακόβουλους παράγοντες να σαρώνουν και να επιτίθενται μαζικά σε Exchange servers. Είναι ενδιαφέρον ότι όλοι είναι ομάδες APT που επικεντρώνονται στην κατασκοπεία, εκτός από έναν που φαίνεται να σχετίζεται με μια γνωστή εκστρατεία εξόρυξης κρυπτονομισμάτων.

Ωστόσο, είναι αναπόφευκτο ότι αργά ή γρήγορα όλο και περισσότεροι κυβερνοεγκληματίες, συμπεριλαμβανομένων και διαχειριστών ransomware, θα εκμεταλλευθούν τις ευπάθειες», λέει ο Matthieu Faou, ο οποίος ηγείται της ερευνητικής προσπάθειας της ESET. Οι ερευνητές της ESET παρατήρησαν ότι ορισμένες ομάδες APT εκμεταλλεύονταν τις ευπάθειες πριν από την κυκλοφορία των ενημερωμένων εκδόσεων. «Πράγμα που σημαίνει ότι μπορούμε να απορρίψουμε την πιθανότητα να δημιούργησαν αυτές οι ομάδες ένα exploit με αντίστροφη μηχανική με βάσεις τις ενημερώσεις της Microsoft», προσθέτει ο Faou.

Η ESET έχει εντοπίσει περισσότερες από 10 διαφορετικές ομάδες κυβερνοεγκληματιών που πιθανότατα έχουν εκμεταλλευτεί τις πρόσφατες ευπάθειες του Microsoft Exchange προκειμένου να εγκαταστήσουν κακόβουλο λογισμικό όπως webshells και backdoors σε email servers θυμάτων. Σε ορισμένες περιπτώσεις, διαφορετικές ομάδες στοχεύουν στον ίδιο οργανισμό.

Οι ομάδες APT είναι οι εξής:

  • Tick,
  • LuckyMouse,
  • Calypso,
  • Websiic,
  • Winnti Group,
  • Tonto Team,
  • ShadowPad activity,
  • The “Opera” Cobalt Strike,
  • IIS backdoors,
  • Mikroceen και
  • DLTMiner

«Είναι πλέον ξεκάθαρο ότι πρέπει να ενημερώσουμε όλους τους Exchange servers το συντομότερο δυνατό. Ακόμη και εκείνους που δε συνδέονται απευθείας στο internet. Σε περίπτωση παραβίασης, οι διαχειριστές θα πρέπει να αφαιρέσουν τα webshells, να αλλάξουν διαπιστευτήρια και να διερευνήσουν τυχόν επιπλέον κακόβουλη δραστηριότητα. Αυτό το περιστατικό είναι μια πολύ καλή ευκαιρία να θυμόμαστε ότι πολύπλοκες εφαρμογές όπως το Microsoft Exchange ή το SharePoint δεν πρέπει να είναι ανοιχτές στο internet», συμβουλεύει ο Faou.

DIMAND
0.46%
8.80
ΕΛΣΤΡ
-0.82%
2.43
ΚΥΡΙΟ
-0.46%
1.08
ΟΛΠ
-0.22%
46.40
CENER
-0.21%
9.51
ΙΝΤΕΤ
0.00%
0.00
ΕΕΕ
0.65%
46.32
ΟΛΥΜΠ
-0.43%
2.33
ΙΚΤΙΝ
-0.57%
0.35
ΣΠΥΡ
0.00%
0.00
ΣΑΡΑΝ
0.00%
0.00
ΜΥΤΙΛ
0.75%
45.52
ΟΤΟΕΛ
0.54%
11.20
ΕΒΡΟΦ
-2.35%
2.08
ΡΕΒΟΙΛ
-1.22%
1.62
ΜΟΝΤΑ
0.00%
0.00
ΠΑΙΡ
1.84%
0.89
ΚΟΥΕΣ
0.14%
6.98
ΑΡΑΙΓ
-0.61%
13.00
ΜΙΝ
0.00%
0.00
ΜΠΛΕΚΕΔΡΟΣ
0.25%
3.94
ΑΣΤΑΚ
0.79%
7.70
ΙΝΛΙΦ
0.00%
5.02
ΔΡΟΜΕ
2.12%
0.34
ΤΡΑΣΤΟΡ
1.71%
1.19
QLCO
0.35%
5.97
ΠΕΙΡ
-0.07%
5.62
ΠΡΔ
-4.19%
0.41
ΦΡΛΚ
0.38%
3.96
AKTR
0.18%
5.57
ΛΑΜΔΑ
-0.63%
6.29
ΤΡΕΣΤΑΤΕΣ
1.20%
1.69
ΚΑΡΕΛ
-2.48%
314.00
ΙΝΤΚΑ
-0.64%
3.08
ΚΤΗΛΑ
-0.92%
2.16
ΜΟΥΖΚ
0.00%
0.00
ΒΙΟΚΑ
-0.28%
1.80
ΟΛΘ
0.00%
30.40
ΚΟΥΑΛ
1.61%
1.26
ΝΑΚΑΣ
-1.31%
3.02
ΙΝΤΕΚ
0.00%
6.13
ΝΑΥΠ
2.41%
0.68
ΜΕΒΑ
0.00%
0.00
ΠΕΤΡΟ
0.00%
9.18
ΚΕΚΡ
-4.24%
1.58
ΠΡΟΦ
0.00%
6.10
BOCHGR
0.33%
6.10
ΕΥΔΑΠ
-0.68%
5.84
ΜΟΤΟ
-2.17%
2.71
ΦΡΙΓΟ
0.00%
0.39
ΜΠΡΙΚ
0.00%
2.64
ΠΡΟΝΤΕΑ
0.00%
0.00
ΔΟΜΙΚ
-1.97%
1.75
ΕΠΙΛΚ
0.00%
0.00
ΚΟΡΔΕ
4.60%
0.43
ΜΕΝΤΙ
0.00%
0.00
ΜΕΡΚΟ
-0.53%
37.20
ΑΑΑΚ
-0.66%
7.55
ΛΟΥΛΗ
-1.68%
3.51
ΕΥΑΠΣ
-1.47%
3.34
ΟΡΙΛΙΝΑ
0.26%
0.78
ΟΤΕ
-0.73%
17.57
ΔΕΗ
-0.07%
13.41
ΕΛΙΝ
0.00%
2.17
ΛΟΓΟΣ
0.00%
0.00
ΜΠΤΚ
0.00%
0.00
AEM
0.00%
4.47
ΦΑΙΣ
0.70%
3.58
ΑΣΚΟ
0.00%
3.74
ΙΝΛΟΤ
-0.19%
1.06
ΛΑΒΙ
0.13%
0.79
ΕΣΥΜΒ
2.40%
1.28
ΛΑΜΨΑ
0.00%
0.00
ΑΤΡΑΣΤ
2.08%
7.86
ΑΝΔΡΟ
-0.30%
6.70
ΔΑΑ
0.90%
10.09
ΒΟΣΥΣ
0.98%
2.06
EVR
1.52%
1.68
ΚΡΙ
2.24%
17.32
ΚΕΠΕΝ
0.00%
1.93
ΠΕΡΦ
-0.17%
5.81
ΠΛΑΘ
0.77%
3.93
ΙΛΥΔΑ
-2.07%
2.84
ΕΚΤΕΡ
-1.16%
2.13
ΒΙΟ
0.35%
5.66
ΛΑΝΑΚ
5.66%
1.12
TITC
0.50%
40.20
ΜΟΗ
1.08%
24.40
ΣΙΔΜΑ
1.87%
1.36
ΛΕΒΠ
1.90%
0.21
ΞΥΛΠ
0.00%
0.00
ΑΔΜΗΕ
-0.16%
3.18
ΒΙΟΣΚ
-1.43%
2.07
ΙΑΤΡ
1.14%
1.77
ΔΟΥΡΟ
0.00%
0.00
ΣΠΙ
0.00%
0.00
ΥΑΛΚΟ
0.00%
0.00
ACAG
-1.13%
5.24
ΕΧΑΕ
0.99%
6.15
ΠΑΠ
0.34%
2.94
ΟΠΑΠ
0.43%
18.90
ΑΒΑΞ
2.91%
2.13
ΕΛΛΑΚΤΩΡ
2.07%
1.28
ΜΠΕΛΑ
-0.41%
28.92
ΣΑΡ
-1.87%
13.68
ΔΑΙΟΣ
0.00%
0.00
ΕΛΠΕ
0.38%
7.83
ΕΥΡΩΒ
-0.36%
2.77
ΜΑΘΙΟ
5.08%
0.62
ΑΛΜΥ
-0.76%
5.20
NOVAL
-0.80%
2.48
ΑΤΤ
2.68%
0.81
ΧΑΙΔΕ
0.00%
0.00
ΑΤΤΙΚΑ
-1.41%
2.10
ΕΛΒΕ
1.94%
5.25
ΕΛΧΑ
-1.28%
2.31
ΒΙΟΤ
0.00%
0.00
OPTIMA
0.52%
19.22
ΓΕΒΚΑ
1.96%
1.56
ΦΛΕΞΟ
0.00%
0.00
ΑΤΕΚ
-1.05%
0.94
ΠΡΕΜΙΑ
-1.18%
1.34
ΣΠΕΙΣ
-0.64%
6.18
ΕΛΛ
0.72%
14.05
CNLCAP
0.00%
0.00
ΑΚΡΙΤ
0.00%
0.99
ΜΙΓ
-0.30%
3.35
ΑΛΦΑ
-0.50%
2.77
ΤΖΚΑ
-2.11%
1.39
ΕΛΤΟΝ
-0.57%
1.75
ΣΕΝΤΡ
-1.76%
0.33
ΛΕΒΚ
0.00%
0.00
ΑΒΕ
-1.73%
0.57
ΞΥΛΚ
0.00%
0.23
ΕΤΕ
-0.43%
10.47
ΓΕΚΤΕΡΝΑ
-0.05%
19.34
ΠΛΑΚΡ
0.00%
0.00