Exchange Server: Hacker lassen die Katze aus dem Sack

Laut Microsoft-Sicherheitsexperten greifen BlackCat-Ransomware-Ableger jetzt Microsoft Exchange-Server an, indem sie Exploits nutzen, die auf ungepatchte Sicherheitslücken abzielen. In mindestens einem Vorfall bewegten sich die Angreifer langsam durch das Netzwerk des Opfers, stahlen Anmeldeinformationen und exfiltrierten Informationen, um sie für eine doppelte Erpressung zu verwenden, wie "BleepingComputer" berichtet.

Zwei Wochen nach der ersten Kompromittierung, bei der ein ungepatchter Exchange-Server als Einstiegsvektor gedient hatte, verteilte der Angreifer die BlackCat-Nutzdaten über PsExec im gesamten Netzwerk.

"Während die üblichen Zugangsvektoren für diese Bedrohungsakteure Remote-Desktop-Anwendungen und kompromittierte Anmeldeinformationen sind, haben wir auch einen Bedrohungsakteur gesehen, der Schwachstellen im Exchange-Server ausnutzte, um sich Zugang zum Zielnetzwerk zu verschaffen", lässt sich das Microsoft 365 Defender Threat Intelligence Team zitieren.

Zwar hat Microsoft die ausgenutzte Schwachstelle nicht explizit benannt, doch "BleepingComputer" vermutet, dass es sich um ProxyLogon-Attacken handelt, da der Techkonzern auf ein entsprechendes Security-Advisory verweist. Gegen diese Art von Attacke sind bereits seit März 2021 Patches verfügbar, eingespielt wurden diese jedoch noch nicht überall. In der Schweiz warnte das NCSC im Mai 2022 über 200 Unternehmen brieflich davor, dass ihre Exchange-Server angreifbar sind.

BlackCat ist erst seit November 2021 aktiv, hat sich aber schnell verbreitet. Am 25. April warnte das FBI offiziell vor der Software, wie Sie in unserem Cybersecurity-Ticker nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.