Schwerwiegender Angriff gegen On-Premises Exchange
Eine weltweite Welle von Cyberangriffen begann im Januar 2021, nachdem vier Zero-Day-Exploits in “Microsoft Exchange Server” entdeckt wurden, welche Angreifern vollen Zugriff auf Benutzer-E-Mails und Passwörter, Administratorrechte und auch Zugriff auf angeschlossene Geräte im selben Netzwerk ermöglichten. Die Angreifer installieren in der Regel eine Backdoor, die auch später vollen Zugriff ermöglicht, selbst wenn die ursprünglichen Exploits gepatcht worden sind. Mit Stand vom 9. März 2021 sind schätzungsweise 250.000 Server den Angriffen zum Opfer gefallen.
Am 2. März 2021 veröffentlichte Microsoft Updates für Microsoft Exchange Server 2010, 2013, 2016 und 2019, um den Exploit zu patchen. Dies macht den Schaden allerdings nicht rückwirkend rückgängig und entfernt auch keine von Angreifern installierten Hintertüren. Die Presse berichtet, dass vor allem kleine und mittelständische Unternehmen, lokale Einrichtungen und Behörden von dem Angriff betroffen sind, da sie oft über geringere Budgets für die Absicherung gegen Cyber-Bedrohungen verfügen oder schlichtweg niemanden mit der Wartung ihrer Server beauftragt haben.
Am 12. März 2021 gab Microsoft die Entdeckung einer “neuen Familie von Ransomware” bekannt, die auf anfänglich infizierten Servern eingesetzt wird, alle Dateien verschlüsselt und den Server funktionsunfähig macht. Anschließend wird eine Zahlung verlangt, um den Schaden rückgängig zu machen.
Microsoft gab an, dass der Angriff ursprünglich von Hafnium verübt wurde, einer chinesischen staatlich gesponserten Hackergruppe, die von China aus operiert. Hafnium ist dafür bekannt, die Webshell China Chopper zu installieren. Microsoft identifizierte Hafnium als “hochqualifizierten und hochentwickelten Akteur”, der in der Vergangenheit vor allem “Einrichtungen in den Vereinigten Staaten ins Visier genommen hat, um Industrie-Spionage zu betreiben. Unter den Opfern finden sich darunter Forschungsinstitute, Anwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Think Tanks und NGOs.
Bei der Erläuterung des Hacks erklärte Microsoft, dass dies “das achte Mal in den letzten 12 Monaten war, dass Microsoft öffentlich nationalstaatliche Gruppen aufgedeckt hat, die es auf Einrichtungen abgesehen haben, die für die Zivilgesellschaft wichtig sind. Mit Stand vom 12. März 2021 gibt es neben Hafnium mindestens neun weitere verschiedene Gruppen, die die Schwachstellen ausnutzten, jeweils mit unterschiedlichen Methoden und Verfahren.
DigiPhant Kunden sind sicherer
DigiPhant Kunden, die immer noch On-Premise Exchange Server einsetzen, waren bisher nicht betroffen und sind nun selbstverständlich sicher, denn unsere ausgefeilte Endpoint-Security mit Patchmanagement hat dafür gesorgt, dass die Server sicher sind und Updates umgehend eingespielt wurden.
Sie sind noch kein DigiPhant-Kunde und wollen mehr über uns erfahren? Fragen Sie uns einfach, wir zeigen Ihnen gerne wie wir gemeinsam auch Ihre IT besser absichern können.
