黑王国勒索软件搜寻未修补的Microsoft Exchange服务器

在微软发布了一个一键缓解工具以缓解针对本地Exchange服务器的网络攻击一周多之后，该公司披露，受ProxyLogon漏洞影响的所有面向互联网的服务器中，有92%已经应用了补丁。

与前一周相比，这一进展提高了43%，为打击全球数千家公司的间谍和恶意软件活动的旋风画上了句号，多达10个高级持久性威胁（APT）组织机会主义地迅速采取行动，利用这些漏洞。

根据RiskIQ的遥测数据，大约有29966个Microsoft Exchange服务器实例仍面临攻击，低于3月10日的92072个。

在3月2日微软发布补丁之前，Exchange服务器遭到了多个与中国有关联的国家支持的黑客组织的攻击，而公开的概念验证漏洞的发布助长了感染的狂热，为不断升级的攻击打开大门，比如勒索软件和劫持植入未打补丁的Microsoft Exchange服务器上的网络外壳，以交付加密矿工和其他恶意软件。

网络安全公司F-Secure在上周的一篇文章中指出：“更糟糕的是，概念验证自动攻击脚本正在公开，这使得即使是不熟练的攻击者也有可能快速远程控制易受攻击的Microsoft Exchange服务器。”。

自微软首次发布补丁以来的几周里，至少有两种不同的勒索软件被发现利用这些漏洞安装了“DearCry”和“Black Kingdom”

网络安全公司Sophos对Black Kingdom的分析将勒索软件描述为“在组成上有点初级和业余”，攻击者利用ProxyLogon漏洞部署网络外壳，利用它发布PowerShell命令下载勒索软件负载，加密文件并要求比特币赎金以换取私钥。

Sophos工程总监马克·洛曼（Mark Loman）说：“针对未打补丁的Exchange服务器的黑王国勒索软件具有由一个有动机的脚本小子创建的所有特征。”。“加密工具和技术并不完善，但1万美元的比特币赎金很低，足以成功。每一个威胁都应该认真对待，即使是看似低质量的威胁。”

甚至在ProxyLogon公开披露之前，攻击的数量就已经促使专家调查该漏洞是在Dark Web上共享或出售的，还是该公司通过其Microsoft主动保护计划（MAPP）与之共享漏洞信息的Microsoft合作伙伴，无论是意外还是故意泄露给其他团体。