Exchange Server, nuovi attacchi verso i server ancora vulnerabili

I server Microsoft Exchange che sono già stati presi di mira dopo la scoperta delle vulnerabilità nelle scorse settimane, sono ora oggetto di una seconda ondata di attacchi da parte di un gruppo ransomware che prova a sfruttare i punti d'accesso ancora aperti nei server compromessi.

Si sta verificando infatti la diffusione del malware Black Kingdom (noto anche come DEMON e DemonWare) che richiede un riscatto di 10 mila dollari per il recupero dei dati crittografati: il malware in particolare viene installato sui server Exchange che sono già stati colpiti in precedenza tramite lo sfruttamento delle vulnerabilità zero-day rese note nella prima settimana del mese di marzo e che risultano ancora accessibili tramite le webshell collocate dal gruppo hacker Hafnium di cui abbiamo parlato in precedenza.

Black Kingdom è apparso per la prima volta all'inizio dello scorso anno, per poi rendersi protagonista di un'ondata di attacchi nel corso del mese di giugno 2020 che sfruttava una vulnerabilità individuata nel software Pulse VPN. Negli attacchi avvistati ora pare comunque che il ransomware abbia qualche problema di funzionamento: alcune società di sicurezza evidenziano infatti casi in cui l'operazione di crittografia dei file non è avvenuta, o è avvenuta con metodi che permettono di ripristinarli senza il pagamento del riscatto. In alcune situazioni il malware ha semplicemente rinominato i file.

Falle Exchange: non bastano le patch, necessaria un'analisi approfondita

Nonostante il numero dei server Exchange vulnerabili stia progressivamente diminuendo grazie ad una più diffusa applicazione delle patch correttive messe a disposizione da Microsoft, questo genere di attacchi evidenziano come l'installazione delle patch da sola non sia sufficiente a risolvere il problema.

Nel momento in cui i server erano vulnerabili infatti gli hacker hanno provveduto ad installare webshell che assicurassero la possibilità di accesso anche successivamente all'applicazione degli aggiornamenti di sicurezza. Oltre ad installare le patch distribuite da Microsoft rimane quindi prioritario eseguire una analisi dell'infrastruttura e verificare se vi siano indicatori di compromissione così da poter intraprendere le azioni più opportune.

Di seguito le altre notizie che abbiamo pubblicato nei giorni scorsi relative al problema:

• Attacco ad Exchange Server: anche TIM Business colpita, e intanto Microsoft teme la fuga di notizie interna
• Quattro falle di Exchange Server compromettono 30 mila realtà: potrebbero essere molte di più
• Falle di Exchange Server peggio del previsto: oltre 60 mila realtà compromesse. C'è anche l'Autorità Bancaria Europea
• Falle di Exchange: sono almeno 10 i gruppi hacker all'attacco
• Falle di Exchange Server: attacchi in crescita ad un ritmo vertiginoso
• Ransomware: ecco i primi attacchi che sfruttano le vulnerabilità di Exchange Server