Recentemente, diversi server Exchange compromessi sono colpiti da un’ondata particolarmente insidiosa di attacchi via e-mail. Analogamente a quanto avvenuto con Emotet in passato, in questo periodo i destinatari ricevono risposte fasulle a conversazioni e-mail genuine. Queste finte risposte contengono link a malware. Tuttavia, queste e-mail vengono inviate attraverso i legittimi server di posta dei mittenti originali.
Ciò rende estremamente difficile filtrare tecnicamente o individuare personalmente questi messaggi. Secondo una nota inviata dal “Bundesamt für Sicherheit in der Informationstechnik” (BSI, l’ente federale tedesco per la sicurezza relativa alle tecnologie dell’informazione), i link indirizzano l’utente verso vari malware, tra cui Quakbot (estremamente pericoloso), DanaBot e SquirrelWaffle.
Al momento, non è noto come gli autori accedano al traffico di posta, né quale vulnerabilità di Microsoft Exchange venga specificamente sfruttata per lanciare questa nuova ondata di attacchi. Il BSI presume che i server colpiti siano stati rilevati diverso tempo fa senza che alcuno se ne accorgesse. Attualmente, i corrispondenti dati di accesso diventano merce di scambio nei mercati clandestini in Rete. Basandosi su un’estensione del principio di simulazione, le nuove e-mail false potrebbero essere più efficaci di quanto fosse già Emotet all’epoca (anche se per il momento il numero di messaggi inviati è ancora molto inferiore).
Alle aziende e organizzazioni che sospettano che il loro server Exchange sia stato compromesso, il BSI consiglia di reinstallare il server Exchange e di ripristinare i dati necessari. Per questi e altri casi, Retarus offre il servizio Email Continuity, che intenzionalmente non è basato su prodotti Microsoft. Il servizio fornisce caselle di posta elettronica sul Web preconfezionate e pronte all’uso. L’instradamento dei messaggi può quindi essere immediatamente reindirizzato a questo backup “attivo”, garantendo così che il personale possa continuare a comunicare senza interruzioni.
Email Continuity è strettamente collegato con Retarus Email Security, che protegge ovviamente anche le caselle di posta d’emergenza. In caso di necessità, nella soluzione failover è possibile sfruttare anche altri servizi di Retarus Secure Email Platform, tra cui la crittografia o l’archiviazione di messaggi e-mail.
