Peneliti keamanan telah menemukan lebih dari sepuluh grup peretas berbeda yang secara aktif mengeksploitasi kerentanan zero-day di email Microsoft Exchange (terbuka di tab baru) server, meskipun upaya awal perusahaan untuk mengecilkan serangan cyber.
Microsoft Threat Intelligence Center (MSTIC), pertama kali mendeteksi kerentanan (terbuka di tab baru) dieksploitasi oleh aktor ancaman yang disponsori negara China yang dijuluki Hafnium.
Peneliti ESET kini telah mengidentifikasi lebih dari 5000 email yang diretas (terbuka di tab baru) server dari seluruh dunia milik bisnis dan pemerintah membuat mereka percaya bahwa kerentanan yang sekarang ditambal sedang dieksploitasi oleh beberapa penyerang.
“Sehari setelah rilis tambalan, kami mulai mengamati lebih banyak aktor ancaman yang memindai dan mengkompromikan server Exchange secara massal,” kata peneliti ESET Matthieu Faou, menambahkan bahwa “tidak dapat dihindari bahwa semakin banyak aktor ancaman, termasuk ransomware (terbuka di tab baru) operator, akan memiliki akses ke eksploitasi cepat atau lambat.”
Puncak gunung es?
Seperti yang dilaporkan sebelumnya, pakar keamanan sekarang memperkirakan bahwa lebih dari 30.000 organisasi pemerintah dan komersial AS mungkin telah diretas emailnya setelah serangan terhadap server di seluruh negeri, memicu pernyataan (terbuka di tab baru) dari Gedung Putih.
Sementara Microsoft telah mengeluarkan tambalan untuk memperbaiki kerentanan, pemerintah AS setuju dengan pakar keamanan bahwa serangan belum berakhir.
Berbicara kepada TechRadar ProAdrien Gendre, chief product and services officer di vendor keamanan email Vade Secure mengatakan dia yakin yang terburuk masih akan datang karena penyerang kemungkinan telah meninggalkan pintu belakang untuk mereka kembali lagi nanti.
“Berdasarkan pengetahuan kami tentang insiden sebelumnya, pihak yang terkena dampak dapat mengharapkan untuk melihat peningkatan serangan spear phishing dalam beberapa minggu mendatang, yang semuanya akan sangat kualitatif dengan konteks yang tepat dan berpotensi berisi riwayat percakapan email sebelumnya untuk memberikan kredibilitas pada penipuan. ,” kata Gendre.
Wawasan terbaru dari ESET mendukung pendapat Gendre. Dengan menggunakan data telemetri, ESET telah mengidentifikasi lebih dari sepuluh pelaku ancaman berbeda yang diyakini telah memanfaatkan kerentanan Exchange untuk menginstal malware seperti webshell dan backdoor di server email korban mereka.
“Insiden ini merupakan pengingat yang sangat baik bahwa aplikasi kompleks seperti Microsoft Exchange atau SharePoint tidak boleh dibuka ke internet,” tambah Faou dari ESET, mendesak admin untuk menambal server Exchange termasuk yang tidak langsung terpapar ke internet.