Το σοβαρό ελάττωμα στο λογισμικό SharePoint της Microsoft δεν ανοίγει μόνο τον δρόμο για την κλοπή δεδομένων, αλλά και για επιθέσεις ransomware. Την Τετάρτη το βράδυ, η Microsoft εξέδωσε προειδοποίηση σχετικά με μια ομάδα χάκερ που χρησιμοποιεί το νέο ransomware Warlock εκμεταλλευόμενη το ελάττωμα στους διακομιστές SharePoint. Η έρευνά της αποκάλυψε ότι μια ομάδα χάκερ με έδρα την Κίνα, που ονομάζεται Storm-2603, άρχισε να χρησιμοποιεί το ransomware εκμεταλλευόμενη το ελάττωμα από την περασμένη Παρασκευή, ακριβώς όταν η κοινότητα ασφάλειας αντιλήφθηκε το πρόβλημα. Δεν είναι γνωστά πολλά για την Storm-2603. Η Microsoft δεν έχει καταφέρει να συνδέσει τις δραστηριότητές της με άλλους χάκερ που χρηματοδοτούνται από το κινεζικό κράτος, οι οποίοι συνήθως επικεντρώνονται στην κυβερνοκατασκοπεία. Ωστόσο, η εταιρεία σημειώνει ότι η Storm-2603 εκμεταλλεύεται το κενό ασφαλείας του SharePoint για να προσπαθήσει να κλέψει το «MachineKeys», έναν φάκελο που αποθηκεύει ιδιωτικά κλειδιά για την κρυπτογράφηση των επικοινωνιών υπολογιστών και χρηστών. Η ευπάθεια έχει ήδη σημάνει συναγερμό, καθώς δημιουργεί έναν τρόπο για τους χάκερ να έχουν πρόσβαση σε εσωτερικούς διακομιστές SharePoint, οι οποίοι μπορούν να φιλοξενούν εμπιστευτικά αρχεία και ιστότοπους. Ωστόσο, η νέα προειδοποίηση της Microsoft δείχνει ότι η Storm-2603 χρησιμοποιεί επίσης την ευπάθεια για να αναζητήσει διακομιστές SharePoint και να εντοπίσει διαπιστευτήρια για άλλα συστήματα IT στο ίδιο δίκτυο. Recommended by Our Editors Η Microsoft προειδοποιεί ότι Κινέζοι χάκερς εκμεταλλεύονται την ευπάθεια του SharePoint (Credit: Microsoft) «Ο δράστης κινείται πλευρικά χρησιμοποιώντας το PsExec και το εργαλείο Impacket, εκτελώντας εντολές με το Windows Management Instrumentation (WMI)», προειδοποίησε η Microsoft. «Στη συνέχεια, παρατηρήθηκε ότι η Storm-2603 τροποποιούσε τα Group Policy Objects (GPO) για να διανείμει το ransomware Warlock σε παραβιασμένα περιβάλλοντα». Η Microsoft προτρέπει τους χρήστες που έχουν επηρεαστεί να εγκαταστήσουν ενημερώσεις κώδικα στους διακομιστές τους. Ωστόσο, για πολλούς πελάτες μπορεί να είναι πολύ αργά, παρόλο που η Microsoft κυκλοφόρησε ενημερώσεις για το κενό ασφαλείας. Η εταιρεία ασφάλειας στον κυβερνοχώρο Eye Security δήλωσε την Τετάρτη: «Συνολικά, ανακαλύψαμε περισσότερα από 400 συστήματα που παραβιάστηκαν ενεργά κατά τη διάρκεια τεσσάρων επιβεβαιωμένων κυμάτων επιθέσεων». Μεταξύ των θυμάτων περιλαμβάνονται και κυβερνητικές υπηρεσίες των ΗΠΑ. Την Τετάρτη, το Υπουργείο Ενέργειας επιβεβαίωσε ότι οι χάκερ εκμεταλλεύτηκαν το ελάττωμα του SharePoint για να προσπαθήσουν να διεισδύσουν σε «πολύ μικρό αριθμό» συστημάτων του υπουργείου, συμπεριλαμβανομένης μιας υπηρεσίας που διαχειρίζεται το απόθεμα πυρηνικών όπλων των ΗΠΑ. Ωστόσο, μέχρι στιγμής δεν υπάρχουν ενδείξεις ότι οι χάκερ έκλεψαν ευαίσθητες ή απόρρητες πληροφορίες. Τα Εθνικά Ινστιτούτα Υγείας και το Υπουργείο Εσωτερικής Ασφάλειας έχουν επίσης επηρεαστεί. «Η έρευνα για τον εντοπισμό πιθανής έκθεσης συνεχίζεται. Ωστόσο, δεν υπάρχουν στοιχεία για διαρροή δεδομένων στο DHS ή σε οποιοδήποτε από τα τμήματά του προς το παρόν», μας ενημερώνει η υπηρεσία.
