Ransomwaregänget Conti har börjat hacka sig in i Microsoft Exchange-servrar med hjälp av den nyligen upptäckta Proxyshell-sårbarheten.

Bleeping Computer skriver att säkerhetsföretaget Sophos förra veckan svarade på en incident där Conti-ransomwaregänget krypterat en anonym kund.

Anfallarna ska först använt web shells som körde kommandon, laddade ner mjukvara och vidare infekterade servern. När de väl hade full kontroll över servern kunde de skaffa sig administratörsbehörighet och sprida sig vidare till nätverkets andra servrar. Där installerades också mjukvara som Anydesk och Cobalt Strike för att ge anfallarna fjärråtkomst.

Slutligen laddades organisationens okrypterade data upp till fildelningstjänsten Mega varpå anfallarna började kryptera de lokala filerna.

Microsoft patchade sårbarheterna i Proxyshell i maj och alla organisationer som ännu inte uppdaterat sina system uppmanas göra det snarast.

Läs också: Säkerhetsexperten: Dåligt förberedda företag har bidragit till cyberangrepp