DearCry: Erste Ransomware nutzt Microsoft Exchange Lücke aus

Am 2. März wurde eine Sicherheitslücke offiziell bekannt, die Microsoft Exchange Server betrifft. Noch in der Nacht stellte Microsoft den ersten Patch zur Verfügung, doch für viele Systeme war es da bereits zu spät und sie waren schon angegriffen. Die Sicherheitslücke betrifft Systeme weltweit, auch in Österreich waren vergangene Woche rund 7500 Systeme anfällig für die Lücke, darunter jene von Behörden, KMUs und Großbetrieben.

Wer den Patch, den Microsoft zur Verfügung gestellt hat, jetzt noch immer nicht eingespielt hat, riskiert allerdings viel: Gestohlene E-Mails, Hintertüren in Systeme und Erspressung. Erste Cyberkriminelle nutzen die bekannte Sicherheitslücke nämlich bereits aus, um Systeme mit Erpressersoftware anzugreifen. Auch Microsoft bestätigte offiziell, dass auf Exchange-Systemen die Ransomware gesichtet worden war.

DearCry verschlüsselt Dateien

Die Erpressersoftware namens DearCry wurde erstmals am 9. März entdeckt, wie BleepingComputer berichtet. Systeme, die kompromittiert worden sind, können mit der Ransomware DearCry befallen werden. Die verschlüsselt wie jede andere Ransomware bestimmte Dateien eines Systems und fordert Nutzer zur Lösegeldzahlung auf.

Das nationale Computer Emergency Response Team (CERT.at) rät heimischen Unternehmen dringend, alle offenen Microsoft Exchange Server mit dem Sicherheitsupdate zu versehen und zu überprüfen, ob die Systeme bereits kompromittiert worden sind. Dem CERT.at machen die offenen, verwundbaren Systeme „große Sorgen“, da Ransomware ernsthaften Schaden zufügen kann.

Kunstuni Linz betroffen

Aus Österreich ist bisher der Fall der Linzer Kunstuniversität bekannt, die es „erwischt“ hat. Die Kunstuni hat die Behörden informiert und „Anzeige gegen Unbekannt“ erstattet, heißt es seitens der OÖ Nachrichten. Die Uni gibt an, das System mittlerweile gepatcht zu haben und alle Benutzer darüber informiert zu haben, ihre Passwörter zu ändern.

Ob das reicht, ist allerdings fraglich, denn zu dem Zeitpunkt gab es bereits Angreifer, die über die Lücke volle Kontrolle über die Systeme erlangen konnten - und in diesem Fall wäre der Patch des Systems alleine zu wenig. Man muss aktiv nach Hintertüren im System suchen, um sich wirklich sicher sein zu können, dass keine Angreifer mehr auf den Servern lauern.

Neben der Kunstuni Linz sind auch einige Behörden in Deutschland sowie die Europäische Bankenaufsicht (EBA) von Cyberkriminellen über ihre offenen Microsoft Exchange Server angegriffen worden. Die Cyberangriffe finden mittlerweile von vielen, unterschiedlichen Gruppen statt und haben Dimensionen angenommen, die am Anfang kaum jemand für möglich gehalten hätte.