ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている

今回は「ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている」についてご紹介します。

関連ワード （Microsoft、ハッキング、ランサムウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Microsoft（マイクロソフト）からの警告によると、ハッカーがメールサーバーExchangeに最近見つかった脆弱性を悪用してランサムウェアを投下。それにより数万台のメールサーバーに破壊攻撃のリスクが生じている。

米国時間3月11日午後のツイートでこのテクノロジー大手は、DoejoCrypt（あるいはDearCry）と呼ばれる新種のファイル暗号化マルウェアを検出したと発表した。それは以前Microsoftが、Hafniumと呼ばれる中国が支援する新たなハッキンググループと結びつけた同じ4つの脆弱性を利用している。

関連記事：中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

それら4つをつなぐとハッカーは、脆弱なシステムを完全にコントロールできるようになる。MicrosoftによるとHafniumは、これらの欠陥を悪用している「主犯的な」集団で、スパイ行為や諜報収集のために犯行を重ねているとみられる。しかし複数のセキュリティ企業によると、その他のハッキンググループも同じ欠陥を攻撃していることを彼らは確認している。ESETによると、少なくとも10のグループがExchangeサーバーを活発に侵犯している。

ランサムウェアによる暗号化を解くツールを開発しているランサムウェアのエキスパートであるMichael Gillespie（マイケル・ギレスピー）氏によると、多くの脆弱なExchangeサーバーが米国とカナダとオーストラリアにあり、DearCryに感染している。

関連記事：流行中のランサムウェア「Stop」による暗号化を復号する新ツール群

? #Exchange Servers Possibly Hit With #Ransomware ?
ID Ransomware is getting sudden swarm of submissions with ".CRYPT" and filemarker "DEARCRY!" coming from IPs of Exchange servers from US, CA, AU on quick look. pic.twitter.com/wPCu2v6kVl

— Michael Gillespie (@demonslay335) March 11, 2021

Exchangeサーバーがランサムウェアにやられた可能性がある。ランサムウェアは「.CRYPT」とファイルメーカー「DEARCRY!」の名で大量に出回り、ざっと見ると米国とカナダ、オーストラリアのExchangeサーバーのIPからが多い。

この新しいランサムウェアは、セキュリティ研究者がMicrosoftがオーナーであるGitHubに、脆弱性を悪用するコードのPoC（概念実証）を発表してから1日足らずで登場している。そのコードは、同社のポリシーに違反しているとして、すぐに削除された。

Kryptos Logicのセキュリティ研究家Marcus Hutchins（マーカス・ハッチンズ）氏はツイートで、そのPoCノードは動いたが、若干の手直しが必要だったと述べている。

セキュリティの危機を検知する企業（脅威インテリジェンス企業）であるRiskIQによると、3月11日に脆弱なサーバーを8万2000台検出したが、その数は現在、減っている。同社によると、銀行やヘルスケア企業の数百台のサーバーが今なお侵されており、米国政府の約150台もやられている。Microsoftが3月2日にこの脆弱性を公表した際、脆弱なサーバーは40万台近く存在していたため、急速な減少ということができる。

Microsoftは先にセキュリティフィックスを発行したが、そのパッチでは、すでに侵されているサーバーからハッカーを駆逐することはできない。米国政府のサイバーセキュリティ顧問に相当するFBIとCISAは、この脆弱性が全米の企業に重大なリスクをもたらすと警告している。

FireEyeの脅威インテリジェンス部門Mandiantの分析担当副社長であるJohn Hultquist（ジョン・ハルトキスト）氏は、今後はもっと多くのランサムウェア集団がはびこると予想している。

「パッチが適用されていない組織の多くは、サイバースパイ行為者によって悪用された可能性がある。ランサムウェアの犯罪的な操作は、組織を混乱させ、さらには盗まれた電子メールを公開することで被害者をゆすることもあり、より大きなリスクをもたらす可能性がある」とハルトキスト氏は語る。

画像クレジット：Bryce Durbin/TechCrunch

【原文】

Hackers are exploiting recently discovered vulnerabilities in Exchange email servers to drop ransomware, Microsoft has warned, a move that puts tens of thousands of email servers at risk of destructive attacks.

In a tweet late Thursday, the tech giant said it had detected the new kind of file-encrypting malware called DoejoCrypt — or DearCry — which uses the same four vulnerabilities that Microsoft linked to a new China-backed hacking group called Hafnium.

When chained together, the vulnerabilities allow a hacker to take full control of a vulnerable system.

Microsoft said Hafnium was the “primary” group exploiting these flaws, likely for espionage and intelligence gathering. But other security firms say they’ve seen other hacking groups exploit the same flaws. ESET said at least 10 groups are actively compromising Exchange servers.

Michael Gillespie, a ransomware expert who develops ransomware decryption tools, said many vulnerable Exchange servers in the U.S., Canada, and Australia had been infected with DearCry.

The new ransomware comes less than a day after a security researcher published proof-of-concept exploit code for the vulnerabilities to Microsoft-owned GitHub. The code was swiftly removed a short time later for violating the company’s policies.

Marcus Hutchins, a security researcher at Kryptos Logic, said in a tweet that the code worked, albeit with some fixes.

Threat intelligence company RiskIQ says it has detected over 82,000 vulnerable servers as of Thursday, but that the number is declining. The company said hundreds of servers belonging to banks and healthcare companies are still affected, as well as more than 150 servers in the U.S. federal government.

That’s a rapid drop compared to close to 400,000 vulnerable servers when Microsoft first disclosed the vulnerabilities on March 2, the company said.

Microsoft published security fixes last week, but the patches do not expel the hackers from already breached servers. Both the FBI and CISA, the federal government’s cybersecurity advisory unit, have warned that the vulnerabilities present a major risk to businesses across the United States.

John Hultquist, vice president of analysis at FireEye’s Mandiant threat intelligence unit, said he anticipates more ransomware groups trying to cash in.

“Though many of the still unpatched organizations may have been exploited by cyber espionage actors, criminal ransomware operations may pose a greater risk as they disrupt organizations and even extort victims by releasing stolen emails,” said Hultquist.

（文：Zack Whittaker、翻訳：Hiroshi Iwatani）

日本マイクロソフト - Official Home Page

マイクロソフトは、世界中のすべての人々とビジネスの持つ可能性を最大限に引き出すための支援をさせていただくことを使命として、Surface などのデバイスからクラウドサービスまで多種多様な製品・サービスの開発・提供により、様々な分野で事業を展開しています。

Microsoft アカウント | サインインするか、今すぐアカウントを ...

Sign In with your Microsoft account. One account. One place to manage it all. Welcome to your account dashboard.

Microsoft サポート

Microsoft は、Office、Windows、Surface などの製品を支援するためにここにいます。記事、ビデオ、トレーニング、チュートリアルなどを検索します。

Microsoft Edge

Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studio Windows Server Windows アプリの開発 ドキュメント Power Apps

マイクロソフト - Wikipedia

マイクロソフト（英: Microsoft Corporation ）は、アメリカ合衆国 ワシントン州に本社を置く、ソフトウェアを開発、販売する会社である。 1975年にビル・ゲイツとポール・アレンによって創業された [注釈 1]。 1985年にパソコン用OSのWindowsを開発。

お問い合わせ - Microsoft サポート

Microsoft サポートにお問い合わせください。一般的な問題の解決策を見つけるか、サポート エージェントからサポートを受けます。

Office 365 login

Collaborate for free with online versions of Microsoft Word, PowerPoint, Excel, and OneNote. Save documents, spreadsheets, and presentations online, in OneDrive. Share them with others and work together at the same time.

適切なアプリが見つかります | Microsoft AppSource

Microsoft AppSource に関するサポートが必要ですか? 必要なヘルプをご提供します。ヘルプとサポートが必要な場合は、Microsoft サポートにお問い合わせください。 問い合わせ 最新情報 Surface Laptop Go Surface Pro X Surface Go 2 ...

Microsoft Update

このコンピュータに該当するオペレーティング システム、ソフトウェア、およびハードウェアで利用可能な最新の更新プログラムを入手できます。コンピュータの状態をチェックして、最適な更新プログラムを選択して提供します。

Microsoft 認定トレーナーになる | Microsoft Docs

 · Microsoft 認定トレーナーになる 11/26/2019 M k この記事の内容 Microsoft 認定トレーナー (MCT) は Microsoft テクノロジの技術および指導における最上級のエキスパートです。世界中の Microsoft テクニカル トレーニング ...