Kwaadwillende actoren misbruiken een Microsoft zero-day-kwetsbaarheid om Exchange-servers te hacken en LockBit 3.0-ransomware te implementeren, zoals gerapporteerd door AhnLab.
Microsoft Exchange-servers lopen risico op ransomware-aanvallen
Een nieuwe Microsoft zero-day bug wordt naar verluidt misbruikt om LockBit 3.0 te lanceren, een gevaarlijk ransomware-programma dat alle gegevens op een geïnfecteerd apparaat kan versleutelen en exfiltreren.
De reeks aanvallen, gerapporteerd door het Zuid-Koreaanse cyberbeveiligingsbedrijf AhnLab, is nog niet bevestigd als een zero-day exploit, hoewel men denkt dat dit de meest waarschijnlijke oorzaak is. Sommigen zijn er niet van overtuigd dat een zero-day de boosdoener is, zoals blijkt uit onderstaande tweet.
Het kan enige tijd duren om de oorzaak van deze nieuwe aanvalsgolf te bevestigen, of dit nu een beveiligingsprobleem is of anderszins.
LockBit 3.0 vormt een grote bedreiging voor privégegevens
LockBit 3.0 (ook bekend als LockBit Black) is de nieuwste iteratie in de
LockBit ransomware-as-a-service (RaaS) familie, als opvolger van LockBit 1.0 en 2.0. Deze specifieke vorm van ransomware werd voor het eerst ontdekt in het voorjaar van 2022 en is nu al populair onder cybercriminelen.Naast het versleutelen en exfiltreren van gegevens, kan LockBit 3.0 ook bepaalde services of functies verwijderen om het versleutelings- en exfiltratieproces sneller en gemakkelijker te maken. Zodra de bestanden van het slachtoffer zijn versleuteld en gestolen, verandert de achtergrond van het geïnfecteerde apparaat om het doelwit te laten zien dat ze zijn aangevallen.
Microsoft Exchange is geen onbekende hacks
Op het moment van schrijven werkt Microsoft al aan het leveren van patches voor twee extra kwetsbaarheden, CVE-2022-41040 en CVE-2022-41082.
In de zomer van 2022 implementeerden aanvallers webshell en slaagden erin om meer dan 1,3 TB aan gegevens van Microsoft Exchange-accounts te stelen. Dit werd gedaan door misbruik te maken van de twee bovengenoemde beveiligingsproblemen.
Het is belangrijk op te merken dat de zomer- en herfsthacks niet via dezelfde kwetsbaarheden zijn uitgevoerd. Dit komt doordat de aanvalstechnieken elkaar niet lijken te overlappen.
LockBit Ransomware is een voortdurende bedreiging
Sinds de eerste iteratie is uitgebracht, heeft de LockBit-ransomware ernstige bedreigingen gevormd voor doelen over de hele wereld. Met het ransomware-as-a-service-model van LockBit dat ransomware aanbiedt aan een groeiend aantal betalende gebruikers, neemt de kans op nieuwe aanvallen met de tijd toe. Wie weet welk platform het volgende doelwit zal zijn van een kwaadwillende LockBit-operator.