Hacker nehmen Exchange-Lücken mit Ransomware ins Visier

Stefan Beiersmann,
Microsoft Exchange Server 2016. (Bild: Microsoft)

Es handelt sich um die Erpressersoftware DearCry. Sie kommt bei bereits kompromittierten Exchange-Servern zum Einsatz. Check Point warnt indes vor einer weiteren Zunahme der Angriffe auf ungepatchte Exchange Server.

Microsoft und mehrere Sicherheitsanbieter warnen vor einer stetigen Zunahme von Angriffen auf die jüngst veröffentlichten Sicherheitslücken in Exchange Server. Check Point meldete am Freitag eine Verdoppelung der Angriffsversuche alle zwei bis drei Stunden. Eset will indes inzwischen mindestens zehn mit staatlicher Unterstützung agierenden Hackergruppen kennen, die aktiv nach ungepatchten Exchange-Servern suchen. Außerdem haben die Schwachstellen das Interesse von Cybererpressern geweckt.

Laut Microsoft versuchen Cyberkriminelle derzeit, die Ransomware DearCry auf bereits kompromittierten Exchange-Servern zu installieren. “Wir haben eine neue Ransomware-Familie erkannt und blockieren diese nun”, twitterte der Softwarekonzern. “Microsoft schützt vor dieser als Ransom:Win32/DoejoCrypt.A oder DearCry bekannten Bedrohung.” Kunden, die Microsoft Defender zusammen mit automatischen Updates einsetzten, müssten keine weitere Maßnahmen ergreifen, so das Unternehmen.

Zahlen von Check Point zufolge sind die Türkei, die USA und Italien derzeit am stärksten von den Exchange-Attacken betroffen. Für die drei Länder ermittelten die Forscher Anteile von 19, 18 und 10 Prozent. Zu den häufigsten Ziele zählen Behörde und militärische Einrichtungen, Industrieunternehmen, Banken, der Gesundheitssektor und Bildungseinrichtungen. Palo Alto Networks schätzt indes, dass weltweit wahrscheinlich mindestens 125.000 Exchange Server noch nicht gepatcht wurden.

“Kompromittierte Server könnten es einem unbefugten Angreifer ermöglichen, Ihre Firmen-E-Mails zu extrahieren und Schadcode innerhalb Ihrer Organisation mit hohen Privilegien auszuführen”, kommentierte Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point. “Unternehmen, die gefährdet sind, sollten nicht nur vorbeugende Maßnahmen für ihren Exchange Server ergreifen, sondern auch ihre Netzwerke auf aktuelle Bedrohungen scannen und alle Assets bewerten.”

Microsoft wurde Anfang Januar von unabhängigen Sicherheitsforschern auf das Problem aufmerksam gemacht. Anfang März veröffentlichte das Unternehmen dann schließlich ein außerplanmäßiges Sicherheitsupdates für Exchange 2013, 2016 und 2019. Inzwischen liegen auch Patches für ältere, nicht mehr unterstützte Exchange-Versionen vor.

Hacker wiederum nahmen die Bereitstellung der Updates zum Anlass, ihre Angriffe zu verstärken. Schätzungen zufolge sollen allein in den USA mehr als 30.000 Organisationen betroffen sein. Zu den Opfern zählt auch die Europäische Bankenaufsicht, die vorübergehend ihre E-Mail-Systeme abschalten musste.