Des acteurs malveillants exploitent une vulnérabilité Microsoft zero-day pour pirater les serveurs Exchange et déployer le rançongiciel LockBit 3.0, comme l’a rapporté AhnLab.
Les serveurs Microsoft Exchange sont exposés au risque d’attaques de ransomwares
Un nouveau bogue Microsoft zero-day serait exploité pour lancer LockBit 3.0, un dangereux programme de ransomware capable de crypter et d’exfiltrer toutes les données sur un appareil infecté.
La série d’attaques, signalée par la société sud-coréenne de cybersécurité AhnLab, n’a pas encore été confirmée comme un exploit de type « zero-day », bien que l’on pense que c’est la cause la plus probable. Certains ne sont pas convaincus qu’un jour zéro soit le coupable, comme le montre le tweet ci-dessous.
Il faudra peut-être un certain temps pour confirmer la cause de cette nouvelle vague d’attaques, qu’il s’agisse d’une faille de sécurité ou autre.
LockBit 3.0 pose des menaces majeures pour les données privées
LockBit 3.0 (également connu sous le nom de LockBit Black) est la dernière itération de la famille LockBit ransomware-as-a-service (RaaS), succédant à LockBit 1.0 et 2.0. Cette souche particulière de ransomware a été découverte pour la première fois au printemps 2022 et est déjà populaire parmi les cybercriminels.
En plus de crypter et d’exfiltrer les données, LockBit 3.0 peut également supprimer certains services ou fonctionnalités pour rendre le processus de cryptage et d’exfiltration plus rapide et plus facile. Une fois les fichiers de la victime cryptés et volés, le fond d’écran de l’appareil infecté changera pour montrer à la cible qu’elle a été attaquée.
Microsoft Exchange n’est pas un étranger Hacks
Au moment de la rédaction de cet article, Microsoft travaille déjà sur la fourniture de correctifs pour deux vulnérabilités supplémentaires, CVE-2022-41040 et CVE-2022-41082.
À l’été 2022, les attaquants ont déployé un shell Web et ont réussi à voler plus de 1,3 To de données des comptes Microsoft Exchange. Cela a été fait en exploitant les deux vulnérabilités de sécurité susmentionnées.
Il est important de noter que les hacks d’été et d’automne ne semblent pas avoir été effectués à travers les mêmes vulnérabilités. C’est parce que les techniques d’attaque ne semblent pas se chevaucher.
LockBit Ransomware est une menace permanente
Depuis la sortie de sa première version, le rançongiciel LockBit a posé de sérieuses menaces aux cibles du monde entier. Avec le modèle de ransomware en tant que service de LockBit offrant des ransomwares à une base croissante d’utilisateurs payants, la possibilité de nouvelles attaques augmente avec le temps. Qui sait quelle plate-forme sera ensuite ciblée par un opérateur LockBit malveillant.