Exchange Server: Hacker nutzen Schwachstellen für Ransomware „DearCry“ 2021

13.03.2021 | Aktuelles, Sicherheit, Windows

Netzleiter Wartungskunden erhielten außer der Reihe bis spätestens Samstag, 06/03/2021 die Updates eingespielt und per Handarbeit alles überprüft. Möchten Sie auch proaktiv Ihre Server schützen lassen dann rufen Sie uns an. Wir machen mit Ihnen gerne  einen (maximal zweistündigen) kostenlosen IT-Check. Rufen Sie uns an. [email protected] 040 20949767 Wir schützen regelmäßig nicht nur vor diesem Microsoft Exchange Hack sondern auch durch das Einspielen der Updates vor viele andere nicht öffentliche Exploits.

Exploits nutzt eine ProxyLogon-Lücke in Microsoft Exchange Server kursieren bereits, nun kommt auch noch Ransomware dazu. Erste Nutzer berichten von verschlüsselten Dateien.

Netzleiter IT Support EDV Dienstleistungen dev firewall config jacob miller ot5kWZkH97s unsplashDieser Artikel ist geschrieben von Tilman Wittenhorst uns ist zuerst erschienen am 13.03.2021 auf: https://www.heise.de/news/Exchange-Server-Angreifer-nutzen-Schwachstellen-fuer-Ransomware-DearCry-5987364.html

Die gravierenden Schwachstellen in Microsoft Exchange Server nutzen Cyberkriminelle bereits aus, und die betroffenen Systeme sind längst noch nicht alle mit den erforderlichen Updates versehen, in denen die Lücken geschlossen sind. Nun jedoch werden anfällige Exchange-Server auch noch das Ziel von Ransomware, die über die Lücken in die Systeme eindringt. Microsoft bestätigte inzwischen den entsprechenden Bericht von BleepingComputer.

Verschlüsselte Dateien und Lösegeldforderung

Am 3. März veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für Exchange Server, mit denen vier kritische Schwachstellen geschlossen wurden. Zu diesem Zeitpunkt gab es bereits Angriffe, die diese Lücken kombinierten und ausnutzten (zeroday), bekannt unter der Bezeichnung „ProxyLogon“; Angreifer erhalten volle Kontrolle über ein System. Am 9. März erhielt eine Website, die Ransomware-Proben untersucht, erstmals Muster einer neuen Ransomware-Variante, die fast alle von Exchange-Servern stammten, berichtet BleepingComputer.

Auch im Forum von BleepingComputer schildert ein Nutzer, wie ein von ihm administrierter Exchange-Server per „ProxyLogon“ kompromittiert worden war und nun mit einer „DearCry“ getauften Malware befallen ist. Ransomware verschlüsselt bestimmte oder alle Dateien eines infizierten Systems kryptografisch und fordert Nutzer zur Lösegeldzahlung auf, um einen Entschlüsslung-Key zu erhalten. Weil schon erste Exploits der „ProxyLogon“-Lücken kursierten, war bereits befürchtet worden, dass bald Ransomware-Angriffe auf Exchange folgen würden. Diese Erpressungs-Schadsoftware gehört zu den lukrativsten Formen der Cyberkriminalität, Kunden sind oft bereit, die geforderte Summe zu bezahlen (ob sie daraufhin den versprochenen Key erhalten, ist aber nicht sicher).

Microsoft bestätigt neue Ransomware-Variante

Microsofts Security-Spezialist Phillip Misner bestätigte kurz darauf bei Twitter, dass eine neue Ransomware – von ihm „DoejoCrypt“ genannt – auf Exchange-Systemen gesichtet wurde. Die Angriffe seien von Menschen ausgeführt und nutzten die ProxyLogon-Schwachstellen.

BleepingComputer habe von einem McAfee-Mitarbeiter zudem erfahren, dass deren Beobachtungsteam solche Angriffe bereits in den USA, in Luxemburg, Indonesien, Indien, Irland und Deutschland entdeckt habe. Auch das IT-Notfallteam CERT-Bund des BSI erwähnt auf Twitter, dass es erste Hinweise auf Ransomware-Attacken auf Exchange gebe.

Die Angriffe auf Schwachstellen in Exchange Server sind eine erhebliche Bedrohung der IT-Sicherheit weltweit. Das BSI sieht allein in Deutschland zehntausende Systeme betroffen und hat bereits die „IT-Bedrohungslage rot“ ausgerufen. Administratoren sollten umgehend tätig werden, die Updates einspielen und ihre Systeme auf Angriffe untersuchen; dazu stellt Microsoft unter anderem ein PowerShell-Skript bereit.

Dieser Artikel ist geschrieben von Tilman Wittenhorst uns ist zuerst erschienen am 13.03.2021 auf: https://www.heise.de/news/Exchange-Server-Angreifer-nutzen-Schwachstellen-fuer-Ransomware-DearCry-5987364.html

Stapelsignatur, Komfortsignatur – Digitale Signaturen im Medizinwesen

Digitale Signaturen: Entdecken Sie die Bedeutung und Anwendung einer digitalen Signatur in der Telematikinfrastruktur für eRezepte und eAU. Erfahren Sie mehr über Einzel-, Stapel- und Komfortsignaturen und wie sie den medizinischen Alltag vereinfachen.

Das eRezept und seine Integration in das Praxisverwaltungssystem von Data-AL

Entdecken Sie auf Netzleiter.net die Integration des eRezepts in Data-AL und wie es die medizinische Praxis modernisiert. Erfahren Sie mehr über die Vorteile digitaler Rezepte für Patienten und medizinisches Fachpersonal, sowie die verschiedenen Arten von digitalen Signaturen, die den Verschreibungsprozess effizienter und sicherer machen.

PDF-Formate: Ein umfassender Leitfaden zu PDF, PDF/A und PDF/X

Ein tiefer Einblick in die verschiedenen PDF-Formate, ihre spezifischen Anwendungen und wie sie die Darstellung und den Austausch von Dokumenten vereinfachen.

Top 10 der beliebtesten deutschen Passwörter 2023

Ein Alptraum für Systemadministratoren: Passwortunsicherheit im HomeOffice-Zeitalter Seit dem Beginn der Pandemie hat die Verschiebung zur Arbeit im HomeOffice neue Angriffspunkte eröffnet, die vielen Unternehmen ernsthafte Sorgen bereiten. Ein wesentlicher...

Die Bedeutung der §75b KBV-Richtlinie: Ein Überblick und Bewertung für Arztpraxen

Erfahren Sie mehr über die §75b KBV-Richtlinie, ihre Auswirkungen auf die IT-Sicherheit in Arztpraxen, MVZ, wie Ihnen Netzleiter helfen kann und die Pro und Kontra Argumente dieser wichtigen Regulierung im Gesundheitswesen

IT-Wartungsverträge: Ihre Investition in stetige Betriebsbereitschaft | Netzleiter

Entdecken Sie den Mehrwert von IT-Wartungsverträgen mit Netzleiter. Unsere Serviceverträge garantieren eine kontinuierliche Betriebsbereitschaft und sorgen für eine optimierte IT-Infrastruktur in Ihrem Unternehmen. Kontakt: 040 20 94 97 67

Die KBV-Richtlinie §75b: Ein umfassender Leitfaden zur IT-Sicherheit in medizinischen Einrichtungen

Entdecken Sie die KBV-Richtlinie §75b, die die IT-Sicherheit in medizinischen Einrichtungen regelt. Erfahren Sie, wie Netzleiter GmbH & Co. KG Ihnen hilft, die Anforderungen dieser Richtlinie zu erfüllen.

Pro und Kontra Argumente zu §75b KBV-Richtlinie

Die Richtlinie §75b des Sozialgesetzbuchs (SGB) V bezieht sich auf die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung in Deutschland. Die Kassenärztliche Bundesvereinigung (KBV) hat den Auftrag, Anforderungen zur Gewährleistung der...

Effizienter IT-Support durch Netzleiters Technisches Backoffice | Professionelle IT-Lösungen in Hamburg

Erhalten Sie effiziente IT-Service durch unser technisches Backoffice – Ihr zuverlässiger IT-Dienstleister für IT-Support, Infrastruktur, Sicherheit und Wartung. Profitieren Sie von unserer technischen Hotline, unseren Lösungen und einer sehr guten Reaktionszeit für minimale Ausfallzeiten und maximale Kundenzufriedenheit.

USV-Systeme: Ein unverzichtbarer Schutz für Ihre IT-Server-Infrastruktur

Entdecken Sie, wie USV-Systeme von Netzleiter GmbH & Co. KG Ihre IT-Infrastruktur vor Stromausfällen schützen und die Betriebskontinuität Ihres Unternehmens sicherstellen können.