Cybercriminelen installeren cryptojacking-malware op ongepatchte Microsoft Exchange-servers
Cyberaanvallers scannen het internet op kwetsbare Microsoft Exchange-servers die ze kunnen misbruiken om cryptocurrency te delven. "Het is in feite gratis geld dat binnenrolt voor de aanvallers," waarschuwen cybersecurity-onderzoekers.
Cybercriminelen richten zich op kwetsbare Microsoft Exchange-servers met cryptocurrency mining malware in een campagne die is ontworpen om heimelijk de rekenkracht van gecompromitteerde systemen te gebruiken om geld te verdienen.
Zero-day kwetsbaarheden in Microsoft Exchange Server werden vorige maand gedetailleerd beschreven toen Microsoft kritieke beveiligingsupdates uitbracht om de uitbuiting van kwetsbare systemen te voorkomen.
Cyberaanvallers, variërend van nationale hackinggroepen tot ransomwarebendes, hebben zich gehaast om misbruik te maken van ongepatchte Exchange-servers - maar zij zijn niet de enigen.
Cyberbeveiligingsonderzoekers van Sophos hebben aanvallers geïdentificeerd die proberen gebruik te maken van de Microsoft Exchange Server ProxyLogon exploit om stiekem een Monero cryptominer te installeren op Exchange servers.
Serverhardware is behoorlijk gewild voor cryptojacking omdat het meestal een hogere performance heeft dan een desktop of laptop. Omdat de kwetsbaarheid de aanvallers in staat stelt om simpelweg het hele internet af te speuren naar beschikbare, kwetsbare machines, en deze vervolgens in het netwerk te rollen, is het in feite gratis geld dat binnenrolt voor de aanvallers.
Monero is lang niet zo waardevol als Bitcoin, maar het is makkelijker te ontginnen en, cruciaal voor cybercriminelen, biedt grotere anonimiteit, waardoor de eigenaar van de portemonnee - en degenen achter de aanvallen - moeilijker te traceren zijn.
Hoewel een cryptocurrency-mijnwerker misschien niet zo erg klinkt als een ransomware-aanval of het verlies van gevoelige gegevens, is het toch een punt van zorg voor organisaties.
Het betekent namelijk dat cyberaanvallers zich heimelijk toegang hebben kunnen verschaffen tot het netwerk en, wat cruciaal is, dat de organisatie nog steeds niet de cruciale updates heeft toegepast die bedoeld zijn om zich tegen allerlei aanvallen te beschermen.
Volgens een analyse van Sophos begon de Monero wallet van de aanvaller achter deze campagne op 9 maart geld te ontvangen uit mijnbouw, slechts een paar dagen nadat de Exchange kwetsbaarheden aan het licht kwamen, wat suggereert dat de aanvaller er snel bij was om ongepatchte servers te misbruiken.
De aanvallen beginnen met een PowerShell-commando dat een bestand ophaalt van het Outlook Web Access-loginpad van een eerder gecompromitteerde server, dat op zijn beurt uitvoerbare payloads downloadt om de Monero-miner te installeren.
Onderzoekers merken op dat het uitvoerbare bestand een aangepaste versie lijkt te bevatten van een tool die publiekelijk beschikbaar is op Github; wanneer de inhoud wordt uitgevoerd op een gecompromitteerde server, wordt bewijs van installatie verwijderd, terwijl het mijnbouwproces in het geheugen draait.
Het is onwaarschijnlijk dat de beheerders van servers die zijn gekaapt door cryptomijnende malware zullen merken dat er een probleem is -- tenzij de aanvaller hebzuchtig wordt en een grote hoeveelheid verwerkingskracht gebruikt die gemakkelijk als ongebruikelijk kan worden geïdentificeerd.
Om netwerken te beschermen tegen aanvallen die gebruik maken van de kwetsbaarheden in Microsoft Exchange Server, wordt organisaties dringend verzocht de kritieke beveiligingsupdates met onmiddellijke prioriteit toe te passen.
Dit heeft veel te maken met de noodzaak om op servers, vooral servers die op internet zijn gericht, moderne endpointbescherming te installeren. Voor de rest heeft Microsoft heel duidelijk aangegeven wat er nodig is om de kwetsbaarheden te patchen, dus beheerders moeten gewoon ijverig zijn en die dingen doen.