Perfide neue Angriffswelle über gekaperte Exchange-Server

Perfide neue Angriffswelle über gekaperte Exchange-Server

Kompromittierte Exchange-Server werden aktuell für eine besonders heimtückische Angriffswelle via E-Mail missbraucht. Die Empfänger erhalten ähnlich wie früher bei Emotet vorgebliche Antworten auf echte E-Mail-Unterhaltungen, die Links auf Schadsoftware enthalten. Diese E-Mails werden jedoch über die legitimen Mail-Server der Absender verschickt.

Das erschwert es enorm, diese Nachrichten technisch zu filtern oder durch den Leser zu erkennen. Laut Warnhinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) verweisen die Links auf verschiedene Schadsoftware, darunter den besonders gefährlichen Quakbot sowie auch DanaBot und SquirrelWaffle.

Zum jetzigen Zeitpunkt ist demnach weder bekannt, wie die Täter Zugriff auf den Mail-Verkehr erhalten, noch, welche Schwachstelle in Microsoft Exchange konkret für die neue Angriffswelle ausgenutzt wird. Das BSI geht davon aus, dass die betroffenen Server bereits seit längerem unbemerkt übernommen wurden. Entsprechende Zugangsdaten würden aktuell auf einschlägigen Untergrund-Marktplätzen im Web gehandelt. Mit ihrer erweiterten Vortäuschmethodik könnte die neuen gefälschten E-Mails „erfolgreicher“ sein als damals Emotet (auch wenn die Zahl der versandten Nachrichten einstweilen noch viel geringer sei).

Bei Verdacht auf eine Kompromittierung ihres Exchange Servers empfiehlt das BSI Firmen und Organisationen, ihren Exchange-Server neu aufzusetzen und nötige Daten wiederherzustellen. Für solche und andere (Aus-)Fälle bietet Retarus den Dienst Email Continuity an, der ganz bewusst nicht auf Produkten von Microsoft basiert. Der Service stellt betriebsbereit vorprovisionierte Webmail-Postfächer zur Verfügung. Das Routing lässt sich dann im Handumdrehen auf dieses „aktive“ Backup umlenken.

Email Continuity ist eng mit Retarus Email Security verzahnt, die natürlich auch die Ausweich-Postfächer vollumfänglich schützt; bei Bedarf stehen auch weitere Services der Retarus Secure Email Platform wie die E-Mail Archivierung oder E-Mail Verschlüsselung in der Failover-Lösung wie gewohnt zur Verfügung.

Tags: //

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.