Les Sophos Labs ont identifié un attaquant utilisant une vulnérabilité Exchange pour le cryptomining : « Les administrateurs doivent analyser le serveur Exchange à la recherche de shells Web et surveiller les serveurs pour détecter les processus inhabituels qui semblent apparaître de nulle part. Une utilisation élevée du processeur par un programme inconnu pourrait être le signe d'une activité de minage de chiffrement ou d'un ransomware », a déclaré Andrew Brandt, chercheur principal sur les menaces chez Sophos.
Les récents problèmes bien connus liés aux vulnérabilités de Microsoft Exchange Server sont loin d'être terminés, même après les correctifs de sécurité des 2 et 9 mars, de nouveaux attaquants utilisent toujours l'exploit pour leurs attaques. Les SophosLabs ont maintenant identifié un attaquant inconnu utilisant la vulnérabilité "ProxyLogon" pour installer un cryptomineur qui attaque les serveurs non corrigés. Le « mineur » appartient à la famille xmr-stak de mineurs Monero open-source légitimes. Andrew Brandt, chercheur principal sur les menaces chez Sophos, révèle plus de détails sur l'attaque du cryptomineur.
L'exploitation minière a coulé dans les portefeuilles Monero
"Notre analyse de cette campagne montre que le 9 mars, les valeurs minières ont afflué dans les portefeuilles Monero des attaquants et l'attaque a rapidement diminué sa portée par la suite. Cela suggère que nous avons affaire à une autre attaque rapidement assemblée, opportuniste et peut-être expérimentale qui tente de voler de l'argent facilement avant que des correctifs à grande échelle ne se produisent. Les entreprises doivent non seulement patcher leurs serveurs immédiatement, mais aussi continuer à les surveiller de près.
Pour la plupart des victimes, le premier signe de compromission sera probablement une baisse significative de la puissance de traitement. Les serveurs qui ne sont pas corrigés peuvent avoir été compromis pendant un certain temps avant que cela ne devienne apparent. Les administrateurs doivent analyser Exchange Server à la recherche de shells Web et surveiller les serveurs à la recherche de processus inhabituels qui semblent surgir de nulle part. Une utilisation élevée du processeur par un programme inconnu pourrait être le signe d'une activité de crypto-minage ou d'un ransomware.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.