Ransomware macht Jagd auf ungepatchte Microsoft Exchange-Server

Die schwerwiegende Si­cher­heits­lü­cke in Microsoft Exchange-Servern, die weltweit zigtausende Nutzer angreifbar gemacht hat, wird nun auch von einem neuen Erpressungstrojanern ausgenutzt. Das Problem ist, dass viele Unternehmen noch nicht gehandelt haben. Die neue Ransomware "Epsilon Red" macht laut einem Bericht von Bleeping Computer aktuell gezielte Jagd auf ungepatchte Microsoft Exchange-Server. Der neue Erpressungstrojaner nutzt Schwachstellen in Microsoft Exchange-Servern aus, um Rechner im Netzwerk zu verschlüsseln.

Angriff auf verwundbare Microsoft Exchange-Server

Das Team des Cybersecurity-Unternehmens Sophos entdeckten die neue Ransomware vor Kurzem bei der Untersuchung eines Angriffs auf ein größeres US-amerikanisches Unternehmen aus dem Bereich des Gastgewerbes. Die Angreifer haben möglicherweise die ProxyLogon-Schwachstellen ausgenutzt, um Rechner im Netzwerk zu erreichen. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet Die ProxyLogon-Fehler wurden weithin bekannt, da Hacker die Gelegenheit nutzten und begannen, das Internet nach anfälligen Geräten zu durchsuchen und die Systeme zu kompromittieren. Weltweit wurde dabei von Behörden auf das Sicherheitsproblem aufmerksam gemacht. Das Bundesamt für Sicherheit in der In­for­ma­tions­tech­nik (BSI) hatte im März eine Warnung veröffentlicht. Da hieß es: "Die La­ge ist ernst. Wir haben Tausende offene Systeme in Deutschland, die nicht gesichert wur­den und Angreifern immer noch offenstehen." Viel hat sich seither aber dennoch nicht getan, viele Unternehmen haben ihre Server nicht aktualisiert.

Nicht Jeder nimmt das Problem ernst

Rund 92 Prozent der anfälligen Microsoft Exchange-Server haben das Update laut Microsoft schon bezogen. Der Rest steht nun im Visier von Cyberkriminellen. Der neu entdeckte Trojaner hat dabei einige Tricks drauf - er deaktiviert unter anderem Windows Defender, um unbemerkt Schaden anrichten zu können.

Epsilon Red ist in Golang (Go) geschrieben und verfügt über eine Reihe einzigartiger PowerShell-Skripte, die den Boden für die Dateiverschlüsselungsroutine vorbereiten und jeweils einen bestimmten Zweck erfüllen.

Unter anderem werden:

  • Prozesse und Dienste für Sicherheitstools, Datenbanken, Backup-Programme, Office-Apps, E-Mail-Clients gestoppt
  • Volume Shadow Copies gelöscht
  • SAM-Datei (Security Account Manager), die Passwort-Hashes enthalten gestohlen
  • Windows-Ereignisprotokolle gelöscht
  • Windows Defender deaktiviert
  • Sicherheits-Tools deinstalliert (von Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)

Nachdem sie in das Netzwerk eingedrungen sind, erreichen die Hacker die Rechner über das Remote Desktop Protokol und verwenden Windows Management Instrumentation, um Software zu installieren und PowerShell-Skripte auszuführen, die schließlich die Epsilon Red-Ransomware bereitstellen und das angegriffene System verschlüsseln.

Sophos-Forscher stellten fest, dass der Bedrohungsakteur auch eine Kopie von Remote Utilities - einer kommerziellen Software für Remote-Desktop-Operationen - und den Tor-Browser installiert. Dieser Schritt soll sicherstellen, dass sie immer noch eine Tür offen haben, wenn sie den Zugriff über den ursprünglichen Eintrittspunkt verlieren.

Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch: Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft 365 für Unternehmen, Microsoft Exchange, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft 365 für Unternehmen, Microsoft Exchange, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 02:50 Uhr Funkklingel, Aimason Wasserdicht Türklingel Funk Set, 400m Reichweite IP55 Aussen Wasserdicht Haustür Klingel mit 2 Empfänger, 55 Melodien, 5 LautstärkestufenFunkklingel, Aimason Wasserdicht Türklingel Funk Set, 400m Reichweite IP55 Aussen Wasserdicht Haustür Klingel mit 2 Empfänger, 55 Melodien, 5 Lautstärkestufen
Original Amazon-Preis
26,99
Im Preisvergleich ab
?
Blitzangebot-Preis
20,39
Ersparnis zu Amazon 24% oder 6,60

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!