Al zeker vierhonderd Belgische Exchange-servers zijn gehackt via de kwetsbaarheid die enkele weken geleden aan het licht kwam. Dat zegt het Centrum voor Cybersecurity België (CCB). De vrees is dat er de komende dagen en weken ransomwarecampagnes zullen volgen of dat er data is gestolen.
De gevolgen van de kwetsbaarheden in Microsoft Exchange Server worden voor Belgische organisaties en bedrijven steeds duidelijker. Uit de lijsten met kwetsbare servers waarover de CCB beschikt, konden ze al meer dan vierhonderd systemen detecteren waarbij een vorm van intrusie gebeurd is. Dit wil zeggen dat kwaadwilligen binnengedrongen zijn in deze systemen en daar nu wachten om toe te slaan. ‘We vrezen dan ook dat sommige organisaties en bedrijven de komende dagen en weken het slachtoffer worden van ransomware of dat er data gestolen zal worden’, voorspeelt het CCB. Alle betrokken bedrijven worden, indien mogelijk, gecontacteerd.
Web shells
Na de kraak installeren cybercriminelen zogenaamde ‘web shells’, waardoor ze vanop afstand toegang en controle hebben via een online-server. Zo kunnen ze als het ware een communicatielijn openhouden om later een aanval te lanceren. In onderzochte lijsten vond het CCB minstens vierhonderd servers waarbij zo’n web shell geïnstalleerd is. Het zou kunnen dat hackers ook al andere malware hebben geïnstalleerd om op een later ogenblik aan te vallen, bijvoorbeeld met een ransomware.
Veel kwetsbare servers kregen intussen een update, maar meer dan duizend systemen blijven nog steeds kwetsbaar. Ook bedrijven en organisaties die de updates wel uitvoerden, moeten op hun hoede blijven en hun systemen blijven monitoren, waarschuwt het CCB. Er kunnen namelijk nog sporen achtergelaten zijn in de periode tussen de intrusie en de updates.
