Il numero di tentativi di exploit globali contro i server vulnerabili di Microsoft Exchange è aumentato di sei volte negli ultimi giorni, da quando Microsoft ha avvertito di una nuova minaccia ransomware ai sistemi compromessi.
Check Point Research ha monitorato la situazione da quando Microsoft ha rilasciato patch fuori programma per quattro bug zero-day il 3 marzo.
Cominciarono ad emergere rapporti secondo cui un gruppo sostenuto dallo stato cinese soprannominato Afnio era dietro gli attacchi in natura sfruttando i difetti. Poi gli attacchi globali sono aumentati in maniera massiccia, con alcune stime che hanno provocato 30.000 vittime negli Stati Uniti e oltre 100.000 in tutto il mondo.
ESET ha affermato che questo è stato il risultato del coinvolgimento di molti altri gruppi APT.
Avendo già affermato venerdì che i tentativi di exploit sui server Exchange raddoppiano ogni poche ore, Check Point ha poi notato in un aggiornamento di domenica che sono aumentati di sei volte nelle ultime 72 ore.
Gli Stati Uniti ne rappresentavano il 21%, seguiti dai Paesi Bassi (12%) e dalla Turchia (12%), con il governo e le forze armate il settore più colpito (27%), seguito dal settore manifatturiero (22%) e dai fornitori di software (9%).
Sempre venerdì, Microsoft ha twittato di aver rilevato una nuova famiglia di ransomware implementata dopo la compromissione iniziale di server Exchange privi di patch.
“Microsoft protegge da questa minaccia nota come Ransom: Win32 / DoejoCrypt.A e anche come DearCry”, ha affermato.
Il vicepresidente dell’analisi di Mandiant, John Hultquist, ha avvertito che questo potrebbe essere l’inizio di un’ondata di attività di sfruttamento da parte degli attori delle minacce ransomware.
“Sebbene molte delle organizzazioni ancora prive di patch possano essere state sfruttate da attori di spionaggio informatico, le operazioni di ransomware criminali possono rappresentare un rischio maggiore in quanto interrompono le organizzazioni e persino estorcono le vittime rilasciando e-mail rubate. Gli operatori di ransomware possono monetizzare il loro accesso crittografando le e-mail o minacciando di trapelarle, una tattica che hanno adottato di recente”, ha spiegato.
“Questo vettore di attacco può essere particolarmente interessante per gli operatori di ransomware perché è un mezzo particolarmente efficiente per ottenere l’accesso di amministratore del dominio. Tale accesso consente loro di implementare la crittografia in tutta l’azienda. Nei casi in cui le organizzazioni non hanno patch, queste vulnerabilità forniranno ai criminali un percorso più veloce verso il successo”.
Hultquist ha osservato che molte delle organizzazioni più vulnerabili saranno PMI o enti governativi e scolastici statali e locali che dispongono di scarse risorse per mitigare il problema.