Microsoft Exchange cyberaanval: "Alleen Patchen van Exchange niet voldoende"

Gepubliceerd op 12 maart 2021 om 00:39

De afgelopen dagen zijn enorm veel cyberaanvallen gesignaleerd door een opening in 'Microsoft Exchange servers'.  Deze lek was al enige tijd bekend, maar de laatste dagen is zichtbaar geworden dat cybercriminelen hier massaal gebruik van willen maken of al gemaakt hebben.

Vele bedrijven die gebruik maken van deze servers draaien nu 'patches' om deze ‘lek’ te dichten. Dat is namelijk het advies van Microsoft en andere cyber instanties. DIT IS ECHTER NIET GENOEG.

Hacker al binnen

Nu blijkt echter dat cybercriminelen massaal gebruik hebben gemaakt van deze mogelijkheid om bij vele organisaties in het IT systeem in te breken. M.a.w. de hacker zit al in het systeem en bij het draaien van een Patch wordt deze niet verwijderd.

Ervaringen met Ransomware aanvallen is dat cybercriminelen IT systemen hacken en dan geruime tijd in het systeem meekijken en cruciale data binnen halen. Pas op een later moment wordt dan de Ransomware aanval ingezet.

50% is raak

Cybersecurity bedrijven die nu blijkbaar enorm veel opdrachten krijgen, zien dat bij grofweg 50 % van de gevallen er een poging is geweest of cybercriminelen al daadwerkelijk software in het IT systeem hebben geplaatst om later een ransomware aanval in te zetten. Er zijn blijkbaar signalen uit de gehele wereld over die soort cyberaanvallen door gebruik te maken van deze Microsoft Exchange server. M.a.w. Patchen is niet voldoende!

Noodklok

Cybersecurity bedrijven luiden dan ook de noodklok en voorspellen dat de komende weken er mogelijk een enorme hoeveelheid bedrijven te maken krijgen met cyberaanvallen en datalekken met alle gevolgen van dien. Blijkbaar zitten hier ook veel overheidsinstanties bij!

Het gespecialiseerde bedrijf 'DataExpert' publiceerden deze morgen het volgende bericht en beveelt met klem de volgende stappen aan.

Alleen Patchen van Exchange niet voldoende

Uit onze testen blijkt dat organisaties die gepatched hebben (on premise exchange 2013-2016-2019) toch aangevallen kunnen zijn. De insluiper is dus mogelijk al binnen en actie is noodzakelijk!
Het maakt even niet uit wie je hiervoor vraagt, maar onderzoek of aanvallers niet al binnen zijn geweest of nog aanwezig zijn is noodzakelijk!

De stappen die nu urgent moeten worden ingezet zijn:

  1. Test of de patching goed is gegaan (dit is niet altijd het geval)
  2. Analyseer de scripts op aanvals indicatoren
  3. Neem aantal maatregelen (OWA, backup etc..)
  4. Kun je dit niet zelf, roep dan de hulp in van specialistische bedrijven.

Bron: politie.nl, dataexpert.nl

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.