Ciscon Talos-tiimin mukaan 35 prosenttia tapauksista johti Microsoft Exchange Serverin haavoittuvuuksiin, joista ilmoitettiin vuoden 2021 alussa, mutta myös uusia lunnasohjelmaperheitä on ilmestynyt täyttämään Emotetin aukkoa.
” data-credit=”Rawpixel, Getty Images/iStockphoto”>
Rawpixel, Getty Images/iStockphoto. 
Ciscon Talos Intelligence Group on julkaissut kevättä 2021 koskevan raporttinsa vaaratapahtumiin reagoimisen trendeistä, ja siinä todettiin, että alkuvuodesta 2021 raportoidut Microsoft Exchange Server -haavoittuvuudet olivat eniten havaittuja vaaratapahtumia viimeisten kolmen kuukauden aikana.
Talosin mukaan neljä Exchange Server -haavoittuvuutta, joihin on nyt saatavilla korjaus, muodostivat 35 prosenttia kaikista vaaratilanteiden tutkimuksista. ”Kun haavoittuvuus on hiljattain julkistettu, vakava ja laajalle levinnyt, [me] näemme usein vastaavan nousun toimeksiannoissa, joissa kyseiset haavoittuvuudet ovat mukana.”
Laajamittaisten Exchange Server -hyökkäysten lisäksi Talosin mukaan se havaitsi myös ”jatkuvan ja kasvavan” lunnasohjelmauhan, vaikka tammikuussa poistettiin Emotet-bottiverkko, jota käytettiin usein lunnasohjelmia palveluna -hyökkäysten käynnistämiseen.
KATSO: Tietoturvaloukkauksiin reagoimista koskevat käytännöt (TechRepublic Premium)
Talosin mukaan MountLocker-, Zeppelin- ja Avaddon-lunnasohjelmaperheet havaittiin vasta keväällä 2021, ja ne kaikki sopivat Emotetin käyttämään ransomware-as-a-service -malliin. Lyhyesti sanottuna helposti käyttöönotettavien ja nopeasti saatavilla olevien lunnasohjelmien uhka ei ole katoamassa.
Lunnasohjelmat ovat joutuneet monenlaisten toimialojen kohteeksi, mutta terveydenhuoltoala johti keväällä lähes nelinkertaisella määrällä tapauksia seuraavaksi eniten kohteeksi joutuneeseen koulutus- ja teknologiasektoriin verrattuna. Tämä jatkaa Talosin mukaan vuoden 2021 edellisellä vuosineljänneksellä havaittua valitettavaa suuntausta ja viittaa siihen, että verkkorikolliset jatkavat terveydenhuollon kohteeksi joutumista, koska COVID-19-pandemian vuoksi on tärkeää palauttaa palvelut mahdollisimman nopeasti, mikä lisää terveydenhuollon organisaation maksumahdollisuuksia.
Talosin mukaan suurin osa sen energiasta käytettiin Microsoft Exchange Server -haavoittuvuuksien työstämiseen, mutta se raportoi myös, että suurin osa johti vain skannausyrityksiin ja HTTP POST -pyyntöihin ilman hyödyntämisen jälkeisiä todisteita.
Syy onnistuneiden hyökkäysten puuttumiseen on Talosin mukaan yhden hyväksikäyttötapauksen luonne, joka edellyttää, että hyökkääjän on käytettävä voimassa olevaa järjestelmänvalvojan tiliä hyväksikäytön onnistumiseksi, ja useimmissa tapauksissa yritetyt osoitteet eivät olleet voimassa.
Niissä tapauksissa, joissa ne olivat kelvollisia, oli todisteita ”todennäköisestä hyödyntämisen jälkeisestä toiminnasta, mukaan lukien verkkokuorien luominen ja kirjoittaminen, ProcDumpin kaltaisten apuohjelmien käyttö, joka liittyy mahdolliseen valtakirjojen keräämiseen, sekä tietojen pakkaaminen ja arkistointi MakeCabin (makecab.exe) tai WinRARin kaltaisilla apuohjelmilla mahdollista tietojen poistamista varten”, Talos sanoi.
Hyödyntämisen jälkeisen toiminnan vähäisyys sai Talosin päättelemään, että hyökkääjät yrittivät nopeasti ja summittaisesti saada pääsyn suureen määrään verkkoja, ennen kuin haavoittuvat Exchange-palvelimet korjattiin.
KATSO: Kuinka hallita salasanoja: (ilmainen PDF) (TechRepublic)
Organisaatioiden, joilla on Microsoft Exchange -palvelimia, tulisi ryhtyä useisiin toimiin suojautuakseen näiden haavoittuvuuksien hyödyntämiseltä, mukaan lukien neljän haavoittuvuuden korjausten asentaminen. On myös tärkeää olla käyttämättä oletusarvoisia järjestelmänvalvojan nimiä järjestelmänvalvojatileissä, sillä ne on helppo arvata hyväksikäyttötarkoituksiin.
Talos suosittelee myös säilyttämään kaikki Exchange Serverin lokit. Suurimmassa osassa tapauksista käytettiin tuntemattomia alkuvektoreita puutteellisen lokitiedonkeruun vuoksi.
Cybersecurity Insider Newsletter
Vahvista organisaatiosi tietoturvapuolustusta pysymällä ajan tasalla uusimmista kyberturvallisuusuutisista, ratkaisuista ja parhaista käytännöistä. Toimitetaan tiistaisin ja torstaisin.