Les attaques dites Hafnium, sur les serveurs de mail Exchange de Microsoft, sont rebaptisées attaques ProxyLogon car elles sont le fait de divers cyberattaquants. Ces tentatives d’exploitation se sont « multipliées par plus de 10 » en quatre jours. Microsoft émet une nouvelle alerte : le ransomware DearCry exploite désormais les quatre vulnérabilités de type « zero-day » sur Exchange Server 2013, 2016 et 2019.
Tandis que les cybercriminels profitent pleinement de la lenteur des processus de correction et d’atténuation, revenons sur les récentes annonces depuis notre dernier article du 8 mars :
Au 9 mars, la société de cybersécurité Palo Alto Networks estime que plus de 125.000 serveurs restent non corrigés dans le monde.
Le 12 mars, l’équipe de Check Point Research (CPR), observe « des tentatives d’exploitation doublant toutes les deux ou trois heures ». Ce jour-là, les pays les plus touchés par ces tentatives d’exploitation sont la Turquie (19 %), les États-Unis (18 %) et l’Italie (10 %) et les organisations les plus ciblées sont les gouvernements / armées, les fabricants et les services bancaires / financiers.
Le même jour, Microsoft déclare dans un tweet qu’une forme de ransomware, connue sous le nom de DearCry, utilise désormais les vulnérabilités du serveur dans les attaques. Le géant logiciel de Redmond indique qu’après la « compromission initiale des serveurs Exchange sur site non patchés », le rançongiciel est déployé sur les systèmes vulnérables. Selon notre consoeur Charlie Osborne de ZDnet, cette situation rappelle l’épidémie du logiciel malveillant WannaCry en 2017.
Aujourd’hui, CPR déclare dans un post de blog que les tentatives d’exploitation se sont « multipliées par plus de 10 » au cours des quatre derniers jours. Les États-Unis sont désormais le pays le plus attaqué (17 %), suivis de l’Allemagne (6 %), du Royaume-Uni (5 %), des Pays-Bas (5 %) et de la Russie (4 %). Les gouvernements / armées, les fabricants, les services bancaires et financiers, et les fournisseurs de logiciels subissent encore le plus grand nombre d’attaques à ce jour.
« Des serveurs compromis peuvent permettre à un attaquant non autorisé d’extraire vos courriels d’entreprise et d’exécuter un code malveillant à l’intérieur de votre organisation avec des privilèges élevés », rappelle Lotem Finkelsteen, responsable de la veille des menaces chez Check Point. « Les organisations à risque doivent non seulement prendre des mesures préventives sur leur Exchange, mais aussi scanner leurs réseaux pour détecter les menaces en direct et évaluer tous les actifs. »