Böswillige Akteure nutzen eine Zero-Day-Schwachstelle von Microsoft aus, um Exchange-Server zu hacken und LockBit 3.0-Ransomware einzusetzen, wie AhnLab berichtet.

Microsoft Exchange-Server sind von Ransomware-Angriffen bedroht

Ein neuer Zero-Day-Bug von Microsoft wird angeblich ausgenutzt, um LockBit 3.0 zu starten, ein gefährliches Ransomware-Programm, das alle Daten auf einem infizierten Gerät verschlüsseln und exfiltrieren kann.

Die von der südkoreanischen Cybersicherheitsfirma AhnLab gemeldete Reihe von Angriffen wurde noch nicht als bestätigt Zero-Day-Exploit, obwohl angenommen wird, dass dies die wahrscheinlichste Ursache ist. Einige sind nicht davon überzeugt, dass ein Zero-Day der Schuldige ist, wie der folgende Tweet zeigt.

Es kann einige Zeit dauern, bis die Ursache dieser neuen Angriffswelle bestätigt ist, sei es eine Sicherheitslücke oder etwas anderes.

LockBit 3.0 stellt große Bedrohungen für private Daten dar

LockBit 3.0 (auch bekannt als LockBit Black) ist die neueste Iteration in der

LockBit Ransomware-as-a-Service (RaaS)-Familie, Nachfolger von LockBit 1.0 und 2.0. Dieser spezielle Ransomware-Stamm wurde erstmals im Frühjahr 2022 entdeckt und ist bereits bei Cyberkriminellen beliebt.

Zusätzlich zum Verschlüsseln und Exfiltrieren von Daten kann LockBit 3.0 auch bestimmte Dienste oder Funktionen löschen, um den Verschlüsselungs- und Exfiltrationsprozess schneller und einfacher zu machen. Sobald die Dateien des Opfers verschlüsselt und gestohlen wurden, ändert sich das Hintergrundbild des infizierten Geräts, um dem Ziel anzuzeigen, dass es angegriffen wurde.

Microsoft Exchange ist kein Fremder Hacks

Zum Zeitpunkt des Verfassens dieses Artikels arbeitet Microsoft bereits an der Bereitstellung von Patches für zwei weitere Schwachstellen, CVE-2022-41040 und CVE-2022-41082.

Im Sommer 2022 setzten Angreifer Web Shell ein und schafften es, über 1,3 TB an Daten von Microsoft Exchange-Konten zu stehlen. Dies geschah durch Ausnutzung der beiden oben genannten Sicherheitslücken.

Es ist wichtig zu beachten, dass die Sommer- und Herbst-Hacks vermutlich nicht über dieselben Schwachstellen durchgeführt wurden. Denn die Angriffstechniken scheinen sich nicht zu überschneiden.

LockBit Ransomware ist eine anhaltende Bedrohung

Seit der Veröffentlichung der ersten Iteration stellt die LockBit-Ransomware ernsthafte Bedrohungen für Ziele auf der ganzen Welt dar. Mit dem Ransomware-as-a-Service-Modell von LockBit, das Ransomware einer wachsenden Basis zahlender Benutzer anbietet, steigt die Möglichkeit neuer Angriffe mit der Zeit. Wer weiß, welche Plattform als nächstes von einem böswilligen LockBit-Operator angegriffen wird.