Black Kingdom je također napao Microsoft Exchange Servere
Početkom mjeseca Microsoft je objavio kako grupa visokosofisticiranih hakera aktivno pokušava iskoristiti zero-day ranjivost Exchange Servera te uputio apel svim svojim korisnicima da odmah instaliraju sigurnosne zakrpe. Zahvaćene su verzije Exchange Servera 2013 do 2019.
Već u prvom tjednu nakon upozorenja, prijavljen je napad na oko 100 malih i srednjih tvrtki. Ono što je bilo neobično je da je sumnja na napad pala na grupu hakera pod imenom Hafnium, a male ili srednje tvrtke nisu njihove uobičajene mete. Microsoft Exchange Server postao je meta drugog vala napada.
Sve od trenutka kad je Microsoft objavio da je došlo do ovih cyber napada, IT zajednica počela je predviđati kada će se dogoditi i drugi val napada koji iskorištava ovu ranjivost.
Predviđanja su išla toliko daleko da su se u drugom valu očekivali napadi puno teži od onih koji su započeli početkom ožujka. Ovaj put se predviđalo da će mete biti upravo tvrtke te da će napadi biti širokog spektra – od krađe podataka do ramsomware-a. Upravo to se i dogodilo.
Započeo je drugi val ransomware napada na Microsoft Exchange Servere
Sredinom ožujka, Darkreading.com (jedan od najčitanijih portala koji se bave cybersigurnosti) objavio je da hakerska grupa pokreće još jednu ransomware inačicu, koja također utječe na Microsoft Exchange Servere za koje nije skinuta najnovija verzija zakrpe.
U ovom trenutku, identificirana je i ta druga varijanta – Black KingDom – koji također iskorištava ranjivosti Microsoft Exchange Severa bez novih zakrpa.
Black KingDom ransomware prema istraživanju koje je objavio Sophos, daleko je od sofisticiranih ransomware-a. Svejedno može uzrokovati značajnu štetu. Black KingDom prvi put je dospio u medije u ranom ljetu 2020. godine kad je iskorištavao Pulse VPN zero-day ranjivosti. Nakon tih incidenata, grupa je u tišini nestala – sve do sada.
Na koji način funkcionira Black Kingdom ransomware grupa
Nakon što Black Kingdom grupa dobije pristup mreži, započeti će enkripciju i ostaviti ransome poruku. To jest dokument nazvan decrypt_file.txt kojime najavljuju svoj povratak.
Radi se o tekstualnom dokumentu kojim upozoravaju da su hakirali (vašu) mrežu. Uz to, da u više niste u mogućnosti pristupiti svojim datotekama i dokumentima. Također upozoravaju da su preuzeli većinu vaših podataka te će iste, ako ih ne kontaktirate u roku 2 dana objaviti javnosti.
Poruka sadrži i element humora i završava s: „Kako biste vidjeli što se dogodilo onima koji nas nisu kontaktirali, samo guglajte Blackkingdom Ransomware.“
Black Kingdom poruka o ransomwareu jedna je od najdužih poruka koje ransomware grupe ostavljaju svojim žrtvama. U njoj se nalaze detaljne upute na koji način ih možete kontaktirati, koji je iznos otkupnine, ID Bitcoin walleta te poruka da su preuzeli podatke iz vaše mreže.
Poruka također sadrži prijetnju da će ukradeni podatci biti objavljeni na društvenim mrežama i portalima.
Što poduzeti kako biste spriječili ransomware napade na svojoj mreži:
Ranjivost Microsoft Exchange-a široko je raširena i poput mnogih, prethodno prijavljenjih ranjovosti. Nema automatsku zakrpu koja bi spriječila ransomware grupe i druge maliciozne cyber organizacije od stecanja neautoriziranog pristupa vašoj mreži.
Sljedeći koraci umanjiti će prijetnju i zaštititi vaše poslovne sustave od neautoriziranih pristupa:
- Ako niste u mogućnosti odmah nadograditi vaš Exchange server s potrebnom sigurnosnom zakrpom, iskoristite privremene (eng. mitigation) skripte službeno izdane od Microsofta. Možete ih naći na Microsoft Security blogu.
- Odmah instalirajte zakrpu za Exchange Server.
- Prije pokretanja alata, napravite backup Exchange Servera u trenutnom stanju
- Ako imate Exchange server starije verzije kumulativne nadogradnje, morati će te isti nadograditi na najnoviju verziju prije instalacije sigurnosne zakrpe.
- Po uspješnoj instalaciji sigurnosne zakrpe potrebno je poništiti promjene koje su odradile pravovremene skripte. Postupak je opisan na Microsoft Security blogu.
- Promijenite lozinke svim Windows korisničkim računima
- Započnite s domenskim administratorima i servisnim računima i nastavite prema svim korisničkim računima
- Sačuvajte firewallove i VPN logove
- Pokrenite Enterprise Detection and Response (EDR) alat kako biste otkrili bilo kakvu neautoriziranu aktivnost
Informatička podrška i sigurnost
Ne možemo prenaglasiti važnost zašite sigurnosti tvrtkinih servera. Na dnevnoj bazi, događaju se milijuni cyber napada. Od onih jednostavnijih poput krađa pristupnih lozinki do sofisticiranih proboja u sustave velikih organizacija i tvrtki. Cyber napadi su postali svakodnevna pojava.
Niti jedan od tih napada nije bezazlen. Svaki može rezultirati nemjerljivom financijskom i dugoročnom štetom kad je riječ o povjerenju klijenata.
Na dnevnoj bazi koriste se milijuni varijanti različitih zlonamjernih softvera. Kako biste osigurali pravovremenu zaštitu od cyber-napada i osigurali da sva vaša IT oprema funkcionira besprijekorno, obratite nam se s povjerenjem.