За останні декілька тижнів корпорація Microsoft та інші представники галузі безпеки помітили зростання атак на локальні сервери Exchange. Метою цих атак є тип поштового сервера, котрий найчастіше використовується малим та середнім бізнесом, хоча постраждали й більші організації з локальними серверами Exchange. Exchange Online не вразливий для цих атак.
Хоча на початку це була національно-державна атака, вразливістю почали користуватись інші злочинні організації, включаючи нові атаки програм-вимагачів з потенціалом для інших зловмисних дій.
Тепер ми розглядаємо ці дії як масову атаку, та серйозність цих хакерських програм свідчить про те, що захист ваших систем стає у пріоритет. Хоча у компанії Microsoft є хмарні методи надання інструментів для оновлення програмного забезпечення, ця незвична ситуація вимагає більш пильного та детального розгляду. В доповнення до наших регулярних оновлень програмного забезпечення ми також надаємо спеціальні оновлення для більш старого й не непідтримуваного програмного забезпечення з метою максимально спростити й швидко захистити ваш бізнес.
Перший крок — переконатись, що усі відповідні оновлення безпеки застосовані до кожної системи. Знайдіть версію Exchange Server, яку ви використовуєте та оновіть її. Цією дією, ви забезпечите захист від відомих атак та у вашої організації буде час для оновлення серверів до версії, котра має повне оновлення безпеки.
Наступний важливий крок — визначити, чи були зламані будь-які системи, і, якщо так, видалити їх із мережі. Ми підготували рекомендований ряд кроків та інструментів, у тосу числі скрипти, котрі дозволять вам сканувати ознаки злому, нову версію Microsoft Safety Scanner для виявлення підозрілих шкідливих програм та новий набір індикаторів компрометації, котрий оновлюється в режимі реального часу та широко розповсюджений. Ці інструменти доступні вже зараз, і ми закликаємо усіх клієнтів використовувати їх.
Наша команда з обслуговування клієнтів цілодобово працює разом з хостинг-компаніями та нашою партнерською спільнотою, щоб підвищити обізнаність клієнтів, яких, потенційно, може це торкнутись. Разом із спільнотою ми працюємо над підвищенням обізнаності про ці критичні оновлення та інструменти серед більш ніж 400 000 клієнтів.
Аби продемонструвати масштаби цієї атаки та показати прогрес, що був досягнутий в оновленні систем, ми працюємо з RiskIQ. Грунтуючись на телеметрії від RiskIQ, 1 березня ми помітили в цілому близько 400 000 серверів Exchange. До 9 березня вразливими лишалось більш ніж 100 000 серверів. Це число невпинно знижується, і залишилось оновити близько 82 000 серверів. Ми випустили один додатковий набір оновлень 11 березня, і разом з цим ми випустили оновлення, що охоплює понад 95% усіх версій, що представлені в Інтернеті.
Групи, що намагаються скористатись цією вразливістю, роблять це для того, щоб впровадити програми-вимагачі та інші шкідливі програми, котрі можуть порушити безперервність бізнесу. Аби найкращим чином захиститись від цього, ми рекомендуємо усім клієнтам ознайомитись із керівництвом з вимагань від Агентства з кібербезпеки і безпеки інфраструктури США, а також із власними рекомендаціями Microsoft про те, як підготуватись до подібних хакерських програм та захиститись від них.
Це другий раз за останній чотири місяці, коли суб’єкти національних держав беруть участь у кібератаках, котрі можуть зачепити підприємства та організації будь-якого розміру. Ми продовжуємо уважно слідкувати за цими атаками та застосовуємо усю широту й глибину наших технологій, людський досвід та інформацію про загрози, щоб краще запобігати, виявляти та реагувати.
Microsoft глибоко віддана підтримці своїх клієнтів у боротьбі з цими атаками, впровадженню інновацій у підхід до захисту інформації, тісному партнерству з урядами та галуззю безпеки, аби допомогти своїм клієнтам та спільнотам залишатись в безпеці.
