Wie schon vor einigen Wochen ist jetzt eine neue Angriffswelle auf Microsoft Exchange bekannt geworden. Cyberkriminelle nutzen dafür eine bekannte Sicherheitslücke aus, die bereits von Microsoft gepatcht wurde – das macht die Angriffe aber nicht weniger gefährlich.
Denn es zeigt sich nun wieder einmal, dass auch, wenn wichtige Sicherheitsupdates zur Verfügung stehen, diese nicht immer genutzt werden. Wie nun das Online-Magazin Bleeping Computer berichtet, beruht eine neue Angriffswelle genau auf einen solchen Fall.
Ein neuer Bedrohungsakteur hackt Microsoft Exchange-Server und dringt über die bekannte ProxyShell-Schwachstelle (wir berichteten) in Unternehmensnetzwerke ein. Dort wird dann ein Erpressungs-Trojaner namens Babuk eingesetzt und Systeme verschlüsselt.
ProxyShell-Angriffe drehen eine neue Runde
Die ProxyShell-Angriffe auf anfällige Microsoft Exchange-Server begannen dabei bereits vor einigen Monaten, wobei LockFile und Conti zu den ersten Ransomware-Gruppen gehörten, die sie ausnutzten.
Einem Bericht der Forscher von Cisco Talos zufolge ist nun ein Babuk-Ransomware-Ableger mit dem Namen „Tortilla“ seit Oktober aktiv. Der Name Tortilla basiert auf ausführbaren Dateien, die den Namen Tortilla.exe tragen und den Schadcode in die fremden Systeme einschleusen.
Aktuell ist es so, dass die Sicherheitsforscher vorrangig Angriffe in den USA bemerkt haben, einige Infektionen mit dem Schadcode gab es aber auch schon in Deutschland und anderen europäischen Ländern.