Exchange Server: Angreifer nutzen Schwachstellen für Ransomware "DearCry"

Exploits für die ProxyLogon-Lücke in Exchange Server kursieren bereits, nun kommt auch noch Ransomware dazu. Erste Nutzer berichten von verschlüsselten Dateien.

In Pocket speichern vorlesen Druckansicht 139 Kommentare lesen

(Bild: antb/Shutterstock.com)

Lesezeit: 2 Min.

Die gravierenden Schwachstellen in Microsoft Exchange Server nutzen Cyberkriminelle bereits aus, und die betroffenen Systeme sind längst noch nicht alle mit den erforderlichen Updates versehen, in denen die Lücken geschlossen sind. Nun jedoch werden anfällige Exchange-Server auch noch das Ziel von Ransomware, die über die Lücken in die Systeme eindringt. Microsoft bestätigte inzwischen den entsprechenden Bericht von BleepingComputer.

Am 3. März veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für Exchange Server, mit denen vier kritische Schwachstellen geschlossen wurden. Zu diesem Zeitpunkt gab es bereits Angriffe, die diese Lücken kombinierten und ausnutzten (zeroday), bekannt unter der Bezeichnung "ProxyLogon"; Angreifer erhalten volle Kontrolle über ein System. Am 9. März erhielt eine Website, die Ransomware-Proben untersucht, erstmals Muster einer neuen Ransomware-Variante, die fast alle von Exchange-Servern stammten, berichtet BleepingComputer.

Auch im Forum von BleepingComputer schildert ein Nutzer, wie ein von ihm administrierter Exchange-Server per "ProxyLogon" kompromittiert worden war und nun mit einer "DearCry" getauften Malware befallen ist. Ransomware verschlüsselt bestimmte oder alle Dateien eines infizierten Systems kryptografisch und fordert Nutzer zur Lösegeldzahlung auf, um einen Entschlüsslung-Key zu erhalten. Weil schon erste Exploits der "ProxyLogon"-Lücken kursierten, war bereits befürchtet worden, dass bald Ransomware-Angriffe auf Exchange folgen würden. Diese Erpressungs-Schadsoftware gehört zu den lukrativsten Formen der Cyberkriminalität, Kunden sind oft bereit, die geforderte Summe zu bezahlen (ob sie daraufhin den versprochenen Key erhalten, ist aber nicht sicher).

Microsofts Security-Spezialist Phillip Misner bestätigte kurz darauf bei Twitter, dass eine neue Ransomware – von ihm "DoejoCrypt" genannt – auf Exchange-Systemen gesichtet wurde. Die Angriffe seien von Menschen ausgeführt und nutzten die ProxyLogon-Schwachstellen.

BleepingComputer habe von einem McAfee-Mitarbeiter zudem erfahren, dass deren Beobachtungsteam solche Angriffe bereits in den USA, in Luxemburg, Indonesien, Indien, Irland und Deutschland entdeckt habe. Auch das IT-Notfallteam CERT-Bund des BSI erwähnt auf Twitter, dass es erste Hinweise auf Ransomware-Attacken auf Exchange gebe.

Die Angriffe auf Schwachstellen in Exchange Server sind eine erhebliche Bedrohung der IT-Sicherheit weltweit. Das BSI sieht allein in Deutschland zehntausende Systeme betroffen und hat bereits die "IT-Bedrohungslage rot" ausgerufen. Administratoren sollten umgehend tätig werden, die Updates einspielen und ihre Systeme auf Angriffe untersuchen; dazu stellt Microsoft unter anderem ein PowerShell-Skript bereit.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(tiw)