À l’échelle mondiale, des centaines de milliers d’organisations exécutant des serveurs de messagerie Exchange de Microsoft viennent d’être piratées en masse, dont au moins 30 000 victimes aux États-Unis. Chaque serveur piraté a été équipé d’une porte dérobée « web shell » qui donne aux méchants un contrôle total à distance, la possibilité de lire tous les e-mails et un accès facile aux autres ordinateurs de la victime. Les chercheurs se précipitent maintenant pour identifier, alerter et aider les victimes et, espérons-le, empêcher de nouveaux dégâts.
Le 5 mars, BreachTrace a annoncé qu’au moins 30 000 organisations et des centaines de milliers dans le monde avaient été piratées. Les mêmes sources qui ont partagé ces chiffres disent que la liste des victimes a considérablement augmenté depuis lors, avec de nombreuses victimes compromises par plusieurs groupes de cybercriminels.
Les experts en sécurité essaient maintenant d’alerter et d’aider ces victimes avant que les pirates malveillants ne lancent ce que beaucoup appellent avec un mélange de terreur et d’anticipation la « étape 2 », lorsque les méchants revisitent tous ces serveurs piratés et les ensemencent avec des rançongiciels ou d’autres piratages. des outils pour ramper encore plus profondément dans les réseaux de victimes.
Mais cet effort de sauvetage a été contrecarré par le volume considérable d’attaques contre ces vulnérabilités Exchange et par le nombre de groupes de piratage apparemment distincts qui se disputent le contrôle des systèmes vulnérables.
Un expert en sécurité qui a informé les conseillers fédéraux et militaires de la menace affirme que de nombreuses victimes semblent avoir installé plus d’un type de porte dérobée. Certaines victimes avaient installé trois de ces Web Shells. L’un d’eux a été bombardé de huit portes dérobées distinctes. Cela a d’abord causé un surdénombrement important de victimes potentielles et a nécessité beaucoup de dédoublement de diverses listes de victimes.
La source, qui s’est exprimée sous couvert d’anonymat, a déclaré que de nombreux membres de la communauté de la cybersécurité ont récemment constaté une forte augmentation des attaques sur des milliers de serveurs Exchange, qui a ensuite été liée à un groupe cybercriminel à but lucratif.
« Ce que nous pensions être l’étape 2 était en fait un groupe criminel détournant comme 10 000 serveurs d’échange », a déclaré une source qui a informé les conseillers à la sécurité nationale des États-Unis de l’épidémie.
Le 2 mars, lorsque Microsoft a publié des mises à jour pour corriger les quatre failles Exchange attaquées, il a attribué l’activité de piratage à un groupe de cyberespionnage chinois non identifié auparavant appelé «Hafnium». Microsoft a déclaré que Hafnium avait utilisé les failles d’Exchange pour mener une série d’attaques lentes et lentes contre des cibles stratégiques spécifiques, telles que des organisations non gouvernementales (ONG) et des groupes de réflexion.
Mais le 26 février, cette activité relativement furtive se transformait en une exploitation massive et aveugle de tous les serveurs Exchange vulnérables. Cela signifie que même les utilisateurs d’Exchange qui ont corrigé le même jour les mises à jour de sécurité publiées par Microsoft peuvent avoir eu des serveurs ensemencés avec des portes dérobées.
De nombreux experts qui ont parlé à BreachTrace ont déclaré qu’ils pensaient que différents groupes de cybercriminels avaient appris d’une manière ou d’une autre les projets de Microsoft d’expédier des correctifs pour les failles Exchange une semaine plus tôt qu’ils ne l’avaient espéré (Microsoft avait initialement ciblé aujourd’hui, Patch Tuesday, comme date de sortie).
L’activité d’analyse des vulnérabilités s’est également considérablement intensifiée après la publication de ses mises à jour par Microsoft le 2 mars. Les chercheurs en sécurité adorent déchirer les correctifs pour trouver des indices sur les failles de sécurité sous-jacentes, et l’une des principales préoccupations est que divers groupes de cybercriminels ont peut-être déjà trouvé comment exploiter les défauts indépendamment.
ÉVITER LES MASS-RANSOMWARE
Les experts en sécurité essaient désormais désespérément d’atteindre des dizaines de milliers d’organisations victimes avec un seul message : que vous ayez déjà patché ou que vous ayez été piraté, sauvegarder immédiatement toutes les données stockées sur ces serveurs.
Toutes les sources avec lesquelles j’ai parlé de cet incident disent s’attendre à ce que les cybercriminels motivés par le profit se jettent sur les victimes en déployant en masse des rançongiciels. Étant donné que tant de groupes ont maintenant installé des shells Web de porte dérobée, il serait trivial de libérer un ransomware sur le lot d’entre eux en une seule fois. De plus, les serveurs Exchange compromis peuvent constituer une porte d’entrée virtuelle vers le reste du réseau de la victime.
« Avec la baisse du nombre d’acteurs menaçants différents [web] les shells sur les serveurs augmentent, les ransomwares sont inévitables », a déclaré Allison Nixondirecteur de recherche chez Unité221Bune société de cyber-investigation basée à New York.
Jusqu’à présent, il n’y a aucun signe de rançon des victimes de ce piratage de masse. Mais cela pourrait bien changer si le code d’exploitation utilisé pour s’introduire dans ces serveurs Exchange vulnérables devient public. Et personne que j’ai interviewé ne semble penser qu’un code d’exploitation fonctionnel va rester non publié beaucoup plus longtemps.
Lorsque cela se produit, les exploits seront intégrés dans des kits de test d’exploit accessibles au public, ce qui permettra à tout attaquant de trouver et de compromettre un nombre décent de victimes qui n’ont pas encore été corrigées.
VÉRIFIER MON OWA
Nixon fait partie d’un groupe de leaders de l’industrie de la sécurité qui contribuent des données et du temps à une nouvelle plate-forme de notification des victimes en ligne appelée Vérifier mon OWA (Outlook Web Access, le composant Web accessible sur Internet des machines Exchange Server).
Checkmyowa.unit221b.com vérifie si votre domaine Exchange Server est apparu dans les journaux d’attaque ou les listes de domaines compromis connus.
Il est peut-être préférable de l’appeler un service d’auto-notification qui est exploité à partir du propre site Web d’Unit221B. Entrez une adresse e-mail sur Check My OWA, et si cette adresse correspond à un nom de domaine pour une organisation victime, cette adresse e-mail recevra un avis.
« Notre objectif est de motiver des personnes que nous n’aurions peut-être jamais pu contacter autrement », a déclaré Nixon. « J’espère que si ce site peut être diffusé, il y a une chance que certaines entreprises victimes soient informées et prennent des mesures ou puissent s’y attaquer.
Si le nom de domaine de l’e-mail (tout ce qui se trouve à droite du signe @) est détecté dans leur base de données, le site enverra à cet utilisateur un e-mail indiquant qu’il a observé le domaine de messagerie dans une liste de domaines ciblés.
« Des acteurs malveillants ont réussi à compromettre, et certaines de ces informations suggèrent qu’ils ont peut-être pu installer un webshell sur un serveur Exchange associé à ce domaine », lit l’un des messages aux victimes. « Nous vous recommandons vivement d’enregistrer immédiatement une sauvegarde hors ligne des e-mails de votre serveur Exchange et de vous reporter au site pour plus d’informations sur les correctifs et la correction. »
« Nous avons observé que votre domaine de messagerie apparaît dans notre liste de domaines que les acteurs malveillants ont pu compromettre avec succès, et certaines de ces informations suggèrent qu’ils ont peut-être pu installer un webshell sur un serveur Exchange associé à ce domaine », est un autre message que le site peut renvoyer.
Nixon a déclaré que les utilisateurs d’Exchange peuvent s’épargner un scénario potentiellement cauchemardesque s’ils sauvegardent simplement les systèmes concernés maintenant. Et étant donné le nombre d’adversaires qui attaquent actuellement des systèmes Exchange encore non corrigés, il est presque impossible que cela ne se termine pas par un désastre pour au moins certaines victimes.
« Il y a des chercheurs qui utilisent des pots de miel pour [attract] attaques de différents groupes, et ces pots de miel sont bombardés à gauche et à droite », a-t-elle déclaré. « Plus tôt ils peuvent exécuter une sauvegarde, mieux c’est. Cela peut aider à éviter beaucoup de chagrin d’amour.
Oh, et encore une chose importante : vous voudrez garder toutes les sauvegardes déconnectées de tout. Les rançongiciels ont tendance à infecter tout ce qu’ils peuvent, alors assurez-vous qu’au moins une sauvegarde est stockée complètement hors ligne.
« Il suffit de les déconnecter d’un ordinateur, de les mettre dans un endroit sûr et de prier pour ne pas en avoir besoin », a déclaré Nixon.
Mise à jour, 12 mars, 15 h 38 HE : Ça se passe. Microsoft dit qu’ils sont conscients que certains attaquants sont utiliser les vulnérabilités d’Exchange pour diffuser des rançongiciels. de Kaspersky Costin Raiu dit les cybercriminels derrière les botnets miniers de crypto-monnaie ciblent également les serveurs Exchange.