Exchange Server 漏洞後勒索軟體更熱鬧　連 WannaCry 也重現江湖

最近 Exchange Server 的零時差漏洞讓網路犯罪蠢蠢欲動，其中又以勒索軟體最為活躍。

資安廠商 CheckPoint 上周公佈的一項報告指出，最近 6 個月勒索軟體活動頻率大幅上升，其中鎖定 Microsoft Exchange Server 被稱為 ProxyLogon 的漏洞更是活躍。

雖然微軟上周指出，全球補好 ProxyLogon 漏洞的 Exchange Server 比例高達 92%，僅剩不到 3 萬台機器曝險，但 CheckPoint 的偵測系統顯示，全球還有超過 5 萬次針對 Exchange 系統的勒索軟體攻擊，其中以政府／軍方、製造、金融／銀行為最大受害產業。

半數 (49%) 的 ProxyLogon 漏洞攻擊發生在美國，其次是英國，荷蘭及德國，但比例都僅在 5% 以下。

此外，Check Point 發現，過去 6 個月以來，全球勒索軟體攻擊活動上升了 57%，更令人擔憂的是，今年前 3 個月以來每月升高 9%。除了常見的病毒株（Maze、Ryuk、REvil）外，CheckPoint 還發現被 WannaCry 勒索軟體感染的組織增加了 53%。

4 年前，WannaCry 利用 NSA 的 EternalBlue for Windows Server Message Block (SMB) 感染蔓延全球，幾天內造成數千萬美元損失。直到知名安全研究人員 Marcus Hutchins 發現了 kill switch（緊急緩解方法）及微軟釋出修補程式才逐漸平息。全球至少 20 萬台電腦被影響。

不過 WannaCry 並未被斬草除根，它現在還被發現蹤跡。WannaCry 已經出現變種，不怕 kill switch。

一月間趨勢科技將 WannaCry 變種列為最大的勒索軟體家族。WannaCry 之所以感染那麼廣，是因為它會自我複製蔓延，而且網路上仍然還有數千台系統未補好 EternalBlue 開採的漏洞。

CheckPoint 觀察，從去年 12 月起 WannaCry 再度作亂，攻擊次數一路增加到三月的 1.2 萬台。

來源：Bleeping Computer