Den nya attackvektorn påverkar servrar som patchats för den tidigare ProxyShell-sårbarheten, men i ett sent skede och som därför hunnit bli komprometterade. Dessa komprometterade servrar visar sig nu störa befintliga e-posttrådar och skickar infekterade svar med länkar till QakBot/DanaBot/SquirrelWaffle.
Vi har rapporter om att detta ransomware nu drabbat flera organisationer i Sverige. I nuläget är vår rekommendation att vara extremt vaksam på e-postmeddelanden som dyker upp oväntat – det kan röra sig om svar i en existerande mejltråd som dyker upp utan förvarning eller långt efter konversationen avslutats, e- postmeddelanden som ser konstiga ut på något sätt eller som innehåller någon typ av bilaga. Hittills har zip-filer använts som modus men detta kan komma att ändras. Vår rekommendation är att för tillfället vara vara extremt uppmärksam på alla typer av e-postbilagor, framför allt zip-filer, och inte öppna några bilagor alls.
Om du är det minsta misstänksam, se till att verifiera filen genom att ta kontakt med avsändaren och/eller informera er it-säkerhetsavdelning.
I nuläget rekommenderar vi också att tills vidare blockera zip-filer i spamfiltret för att minimera risker för infektion.
För mer information, uppdateringar och rekommendationer se artikel på CERT-SE. Ny sårbarhet i ms exchange kan leda till ransomware
Vi följer utvecklingen och kommer uppdatera artikeln löpande när vi får mer information om denna nya attackmetod.
