Le vulnerabilità recentemente corrette in Microsoft Exchange hanno suscitato nuovo interesse tra i criminali informatici, che hanno aumentato il volume degli attacchi concentrandosi su questo particolare vettore.
Mentre gli attacchi ransomware sono aumentati di frequenza negli ultimi sei mesi, la società di sicurezza informatica Check Point ha altresì notato un aumento degli incidenti, nell’ultima settiman, che hanno preso di mira i server Microsoft Exchange vulnerabili ai cosiddetti bug critici di ProxyLogon.
Anche con le patch che si muovevano a rapido ritmo, l’azienda ha visto triplicare i tentativi di attacco in tutto il mondo, contando decine di migliaia.
Microsoft Exchange è ancora interessante per gli attaccanti
Secondo Microsoft, il 14 marzo c’erano circa 82.000 server Exchange vulnerabili. Circa una settimana dopo, il numero è sceso considerevolmente a circa 30.000 macchine esposte, secondo i dati di RiskIQ.
I dati di telemetria di Check Point la scorsa settimana hanno mostrato più di 50.000 tentativi di attacco a livello globale, la maggior parte dei quali rivolti a organizzazioni nei settori governativo / militare, manifatturiero e bancario / finanziario.
Gli attacchi ransomware aumentano, WannaCry è di nuovo di tendenza
L’azienda ha registrato un aumento del 57% degli attacchi ransomware negli ultimi sei mesi a livello globale. Più preoccupante è un aumento mensile costante del 9% dall’inizio dell’anno.
A parte i normali ceppi di ransomware osservati (Maze, Ryuk, REvil), l’azienda rileva un aumento del 53% nel numero di organizzazioni colpite dal wormable ransomware WannaCry.
Check Point ha rilevato che ci sono 40 volte più organizzazioni colpite nel marzo 2021 rispetto a ottobre 2020. I nuovi campioni utilizzano ancora l’exploit Etern.
Quasi quattro anni fa, l’epidemia di WannaCry si è propagata attraverso EternalBlue per Windows Server Message Block (SMB) della NSA, causando centinaia di milioni di dollari di danni in pochi giorni.
La sua diffusione è stata contenuta dopo che il ricercatore di sicurezza Marcus Hutchins ha scoperto un kill switch e Microsoft ha rilasciato patch. Oltre 200.000 computer sono stati colpiti dagli attacchi.
Tuttavia, il malware non è stato eliminato. Le società di sicurezza continuano a rilevare WannaCry anche in questi giorni. Questi rilevamenti riguardano le varianti del WannaCry originale che sono state modificate per ignorare il kill switch. Inoltre, il ricercatore di sicurezza Vesselin Bontchev afferma di non aver mai trovato un campione con un componente ransomware funzionante.
A gennaio, queste varianti di WannaCry hanno rappresentato il principale rilevamento di ransomware di TrendMicro.
Il motivo dietro i numeri elevati è che WannaCry è wormable e migliaia di sistemi sono ancora vulnerabili a EternalBlue, raggiungibili tramite Internet pubblico.
Check Point ha osservato la stessa tendenza a partire da dicembre 2020, con attacchi che continuano ad aumentare ben oltre i 12.000 nel marzo 2021.