Всего за месяц число атак на Microsoft Exchange Server выросло на 170%

Всего за месяц число атак на Microsoft Exchange Server выросло на 170%

Всего за месяц число атак на Microsoft Exchange Server выросло на 170%

Аналитики антивирусной компании «Лаборатория Касперского» отметили рост числа кибератак на пользователей серверов Microsoft Exchange. Общая сумма заблокированных попыток эксплуатации уязвимостей в Microsoft Exchange составила 19 839.

В сравнении с июлем число таких кибератак увеличилось на 170%, а причиной, по мнению специалистов, стало появление множества эксплойтов для дыр в Microsoft Exchange. Например, та же связка брешей ProxyShell серьёзно ударила по пользователям этого программного продукта.

К сожалению, тут опять остро стоит проблема патчинга, поскольку не все отслеживают выход заплаток. Как подсчитали в «Лаборатории Касперского», всего за полгода с эксплойтами для брешей в серверах Microsoft Exchange столкнулись 74 тыс. пользователей по всему миру.

За последнюю неделю этого лета эксперты Kaspersky зарегистрировали более 2700 попыток эксплуатации ProxyShell. И это только по России. В этом случае дыры с доступными патчами могут оказаться даже опаснее 0-day, поскольку ими пользуется большее количество киберпреступников.

На сегодняшний день продукты «Лаборатории Касперского» детектируют эксплойты для ProxyShell под именами PDM:Exploit.Win32.Generic, HEUR:Exploit.Win32.ProxyShell и HEUR:Exploit.

Напомним, что на прошлой неделе стал известно о ProxyToken — ещё одной уязвимости, позволяющей изменить настройки сервера Exchange. Эта брешь отслеживается под идентификатором CVE-2021-33766 и для неё также уже доступны патчи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вымогатели OldGremlin вернулись в Россию с новыми инструментами атаки

По данным «Лаборатории Касперского», в первой половине 2025 года атакам OldGremlin подверглись восемь крупных российских организаций — представители сфер промышленного производства, ретейла, ИТ и здравоохранения.

Промышляющая вымогательством русскоязычная группировка OldGremlin известна ИБ-сообществу с 2020 года. Для проникновения в корпоративные сети злоумышленники используют целевые рассылки, запускают шифрование файлов в среднем через 49 дней после взлома и требуют солидный выкуп за расшифровку — до $17 миллионов.

Как оказалось, за полгода отсутствия OldGremlin в России ее инструментарий обновился. Специалисты Kaspersky выявили бэкдор, открывающий удаленный доступ к зараженным устройствам; для запуска вредоносных скриптов используется легитимный интерпретатор Node.js.

Чтобы отключить защиту Windows и без проблем запустить шифровальщика, взломщики эксплуатируют уязвимость в легитимном драйвере. Напомним, в начале лета Microsoft объявила о планах регулярно удалять устаревшие драйверы из каталога Windows Update, так как они могут создать угрозу безопасности.

Обновленный шифровальщик не только блокирует доступ к содержимому файлов, но также передает на C2 актуальный статус. Дополнительный инструмент отключает устройство от сети на время шифрования и удаляет следы вредоносной активности. Создаваемое им сообщение с требованием выкупа теперь содержит имя «OldGremlins».

«Злоумышленники вернулись с усовершенствованным инструментарием, — комментирует эксперт Kaspersky Янис Зинченко. — Это в очередной раз подчёркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 году группа не только возобновила свою деятельность, она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru