คลื่นการโจมตีทางไซเบอร์และการละเมิดข้อมูล ทั่วโลก เริ่มขึ้นในเดือนมกราคม 2021 หลังจากมีการค้นพบช่องโหว่ Zero-day สี่รายการใน เซิร์ฟเวอร์ Microsoft Exchange ภายในองค์กร ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงอีเมลและรหัสผ่านของผู้ใช้บนเซิร์ฟเวอร์ที่ได้รับผลกระทบสิทธิ์ผู้ดูแลระบบบนเซิร์ฟเวอร์ และการเข้าถึงอุปกรณ์ที่เชื่อมต่อบนเครือข่ายเดียวกันได้ ผู้โจมตีมักจะติดตั้งแบ็กดอร์ที่อนุญาตให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ที่ได้รับผลกระทบได้อย่างเต็มที่ แม้ว่าเซิร์ฟเวอร์จะได้รับการอัปเดตในภายหลังเพื่อไม่ให้มีความเสี่ยงต่อช่องโหว่เดิมอีกต่อไป ณ วันที่ 9 มีนาคม 2021 มีการประมาณการว่าเซิร์ฟเวอร์ 250,000 เครื่องตกเป็นเหยื่อของการโจมตี รวมถึงเซิร์ฟเวอร์ขององค์กรประมาณ 30,000 แห่งในสหรัฐอเมริกา เซิร์ฟเวอร์ 7,000 เครื่องในสหราชอาณาจักร^{[ 8 ]}ตลอดจนหน่วยงานกำกับดูแลด้านการธนาคารของยุโรปรัฐสภานอร์เวย์และคณะกรรมาธิการตลาดการเงินของชิลี (CMF) ^{[ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ]}

เมื่อวันที่ 2 มีนาคม 2021 ไมโครซอฟต์ได้ออกอัปเดตสำหรับMicrosoft Exchange Server 2010, 2013, 2016 และ 2019เพื่อแก้ไขช่องโหว่ แต่การอัปเดตนี้ไม่ได้แก้ไขความเสียหายหรือลบช่องโหว่ที่ผู้โจมตีติดตั้งไว้แต่อย่างใด ธุรกิจขนาดเล็กและขนาดกลาง สถาบันท้องถิ่น และรัฐบาลท้องถิ่นมักตกเป็นเหยื่อหลักของการโจมตี เนื่องจากมักมีงบประมาณจำกัดในการรักษาความปลอดภัยจากภัยคุกคามทางไซเบอร์ และโดยทั่วไปมักจ้างบริการด้านไอทีจากผู้ให้บริการในท้องถิ่นที่ไม่มีความเชี่ยวชาญในการรับมือกับการโจมตีทางไซเบอร์^{[ 15 ]}

เมื่อวันที่ 12 มีนาคม 2021 ไมโครซอฟต์ประกาศการค้นพบ "ตระกูลแรนซัมแวร์ ใหม่ " ที่ถูกนำไปใช้กับเซิร์ฟเวอร์ที่ติดเชื้อในตอนแรก โดยเข้ารหัสไฟล์ทั้งหมด ทำให้เซิร์ฟเวอร์ใช้งานไม่ได้ และเรียกร้องเงินเพื่อแก้ไขความเสียหาย^{[ 16 ]}เมื่อวันที่ 22 มีนาคม 2021 ไมโครซอฟต์ประกาศว่าในเซิร์ฟเวอร์ Exchange 92% ช่องโหว่นี้ได้รับการแก้ไขหรือบรรเทาแล้ว^{[ 17 ]}

Microsoft Exchange เป็นซอฟต์แวร์เซิร์ฟเวอร์อีเมลที่ใช้กันอย่างแพร่หลายและเป็นเป้าหมายของการโจมตีทางไซเบอร์บนเครือข่ายธุรกิจบ่อยครั้ง ตามที่ Microsoft ระบุ สภาพแวดล้อมของซอฟต์แวร์นี้ทำให้ผู้โจมตีสามารถใช้เครื่องมือหรือสคริปต์การจัดการในตัวในทางที่ผิดเพื่อจุดประสงค์ที่เป็นอันตรายได้^{[ 18 ]} Microsoft Exchange เคยตกเป็นเป้าหมายของ ผู้คุกคามจากรัฐชาติมาก่อน^{[ 19 ] [ 20 ]}

เมื่อวันที่ 5 มกราคม 2021 บริษัททดสอบความปลอดภัย DEVCORE ได้รายงานช่องโหว่ดังกล่าวต่อ Microsoft ซึ่ง Microsoft ได้ยืนยันเมื่อวันที่ 8 มกราคม^{[ 21 ]}เมื่อวันที่ 6 มกราคม 2021 บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity ตรวจพบการละเมิดครั้งแรกที่ทราบของอินสแตนซ์ Microsoft Exchange Server ^{[ 1 ]}ในช่วงปลายเดือนมกราคม Volexity ตรวจพบการละเมิดที่อนุญาตให้ผู้โจมตีเข้าถึงข้อมูลจากลูกค้าสองรายและรายงานช่องโหว่ดังกล่าวต่อ Microsoft หลังจากที่ Microsoft แจ้งเรื่องการละเมิดดังกล่าว Volexity รายงานว่าแฮกเกอร์ลดความระมัดระวังลงเพื่อรอการแก้ไข^{[ 22 ]}

เมื่อวันที่ 2 มีนาคม 2021 บริษัทรักษาความปลอดภัยทางไซเบอร์ESETรายงานว่าพบผู้โจมตีหลายราย นอกเหนือจากHafniumที่ใช้ประโยชน์จากช่องโหว่^{[ 4 ]}เมื่อวันที่ 10 มีนาคม 2021 Wiredรายงานว่าหลังจากมีการออกแพทช์แล้ว ผู้โจมตีเพิ่มเติมมีแนวโน้มที่จะทำการวิศวกรรมย้อนกลับเพื่อโจมตีเซิร์ฟเวอร์ที่ยังไม่ได้ติดตั้งแพทช์ นักวิเคราะห์จากบริษัทรักษาความปลอดภัยสองแห่งรายงานว่าพบสัญญาณว่าผู้โจมตีกำลังเตรียมที่จะติดตั้ง ซอฟต์แวร์ ขุดคริปโตเคอร์เรนซีบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ^{[ 23 ]}

เมื่อวันที่ 10 มีนาคม 2021 นักวิจัยด้านความปลอดภัย Nguyen Jang ได้โพสต์ โค้ด สาธิตแนวคิด ลงใน GitHubซึ่งเป็นของ Microsoft โดยแสดงวิธีการทำงานของช่องโหว่ ซึ่งประกอบด้วยโค้ด 169 บรรทัด โปรแกรมถูกเขียนขึ้นโดยเจตนาให้มีข้อผิดพลาด เพื่อให้นักวิจัยด้านความปลอดภัยเข้าใจช่องโหว่ ในขณะเดียวกันก็ป้องกันไม่ให้ผู้ไม่ประสงค์ดีใช้โค้ดนี้เพื่อเข้าถึงเซิร์ฟเวอร์ ต่อมาในวันเดียวกัน GitHub ได้ลบโค้ดดังกล่าว โดยระบุว่า "มีโค้ดสาธิตแนวคิดสำหรับช่องโหว่ที่เพิ่งเปิดเผยและกำลังถูกใช้ประโยชน์อยู่" ^{[ 24 ] [ 25 ]}เมื่อวันที่ 13 มีนาคม กลุ่มอื่นได้เผยแพร่โค้ดช่องโหว่โดยอิสระ ซึ่งต้องมีการแก้ไขเพียงเล็กน้อยเพื่อให้ทำงานได้ Will Dormann จาก ศูนย์ประสานงาน CERTกล่าวว่า "ช่องโหว่นี้ถูกเปิดเผยอย่างสมบูรณ์แล้ว" ^{[ 26 ]}

การโจมตีเกิดขึ้นไม่นานหลังจากการรั่วไหลของข้อมูลของรัฐบาลกลางสหรัฐฯ ในปี 2020ซึ่งเกี่ยวข้องกับการรั่วไหลของแอปพลิเคชันเว็บ Outlook ของ Microsoft และห่วงโซ่อุปทาน Microsoft ระบุว่าไม่มีความเชื่อมโยงระหว่างสองเหตุการณ์นี้^{[ 27 ]}

ไมโครซอฟต์กล่าวว่าการโจมตีเริ่มต้นโดยHafniumซึ่งเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ( ภัยคุกคามขั้นสูงที่คงอยู่ ) ซึ่งปฏิบัติการอยู่ในประเทศจีน^{[ 5 ] [ 22 ] [ 6 ] [ 26 ]} Hafnium เป็นที่รู้จักกันดีในการติดตั้งเว็บเชลล์China Chopper [ ^{26 ] ไมโครซอฟต์}ระบุว่า Hafnium เป็น "ผู้กระทำการที่มีทักษะและซับซ้อนสูง" ซึ่งในอดีตส่วนใหญ่มุ่งเป้าไปที่ "หน่วยงานในสหรัฐอเมริกาเพื่อวัตถุประสงค์ในการดึงข้อมูลจากภาคอุตสาหกรรมต่างๆ รวมถึงนักวิจัยโรคติดเชื้อ บริษัทกฎหมาย สถาบันการศึกษาชั้นสูง ผู้รับเหมาด้านการป้องกันประเทศ สถาบันวิจัยนโยบาย และองค์กรพัฒนาเอกชน" ^{[ 28 ]}ในการประกาศการแฮ็ก ไมโครซอฟต์ระบุว่านี่เป็น "ครั้งที่แปดในรอบ 12 เดือนที่ผ่านมาที่ไมโครซอฟต์เปิดเผยต่อสาธารณะเกี่ยวกับกลุ่มของรัฐชาติที่มุ่งเป้าไปที่สถาบันที่สำคัญต่อสังคมพลเมือง" ^{[ 28 ]}ณ วันที่ 12 มีนาคม 2021 นอกจาก Hafnium แล้ว ยังมีกลุ่มอื่นอีกอย่างน้อยเก้ากลุ่มที่ใช้ประโยชน์จากช่องโหว่ โดยแต่ละกลุ่มมีรูปแบบและขั้นตอนที่แตกต่างกัน^{[ 7 ] [ 29 ]}

รัฐบาลจีนปฏิเสธการมีส่วนร่วม โดยเรียกข้อกล่าวหาเหล่านั้นว่า "ไม่มีมูลความจริง" ^{[ 22 ] [ 30 ]}

ในแถลงการณ์ร่วมเมื่อวันที่ 19 กรกฎาคม 2021 สหรัฐอเมริกาสหราชอาณาจักรสหภาพยุโรปนาโตและประเทศตะวันตก อื่นๆ กล่าวหากระทรวงความมั่นคงแห่งรัฐ (MSS) ว่าเป็นผู้ก่อเหตุโจมตี Exchange รวมถึงการโจมตีทางไซเบอร์อื่นๆ โดย "ระบุด้วยความมั่นใจอย่างสูงว่าผู้กระทำการทางไซเบอร์ที่เป็นอันตรายซึ่งเกี่ยวข้องกับMSS ของสาธารณรัฐประชาชนจีน ได้ดำเนินการ จารกรรมทางไซเบอร์โดยใช้ช่องโหว่แบบ zero-dayในMicrosoft Exchange Serverที่เปิดเผยเมื่อต้นเดือนมีนาคม 2021" ^{[ 31 ] [ 32 ] [ 33 ] [ 34 ]}

แฮกเกอร์ใช้ประโยชน์จาก ช่องโหว่ zero-day สี่รายการแยกกันเพื่อโจมตี Outlook Web Access (OWA) ของเซิร์ฟเวอร์ Microsoft Exchange ^{[ 2 ]}ทำให้พวกเขาสามารถเข้าถึงเซิร์ฟเวอร์และเครือข่ายทั้งหมดของเหยื่อ รวมถึงอีเมลและคำเชิญในปฏิทิน^{[ 4 ]}โดยในตอนแรกต้องการเพียงที่อยู่ของเซิร์ฟเวอร์ ซึ่งสามารถกำหนดเป้าหมายโดยตรงหรือได้รับจากการสแกนเซิร์ฟเวอร์ที่มีช่องโหว่จำนวนมาก จากนั้นผู้โจมตีจะใช้ช่องโหว่สองรายการ รายการแรกอนุญาตให้ผู้โจมตีเชื่อมต่อกับเซิร์ฟเวอร์และตรวจสอบสิทธิ์ ปลอม เป็นผู้ใช้มาตรฐาน ด้วยเหตุนี้ ช่องโหว่ที่สองจึงสามารถถูกใช้ประโยชน์ได้ ทำให้การเข้าถึงของผู้ใช้นั้นมีสิทธิ์ระดับ ผู้ดูแล ระบบ^{[ 35 ] [ 36 ]}ช่องโหว่สองรายการสุดท้ายอนุญาตให้ผู้โจมตีอัปโหลดโค้ดไปยังเซิร์ฟเวอร์ในตำแหน่งใดก็ได้ที่พวกเขาต้องการ^{[ 36 ]}ซึ่งจะทำงานโดยอัตโนมัติด้วยสิทธิ์ผู้ดูแลระบบเหล่านี้ โดยทั่วไปแล้ว ผู้โจมตีจะใช้สิ่งนี้เพื่อติดตั้งเว็บเชลล์ซึ่งเป็นช่องทางลับสำหรับเซิร์ฟเวอร์ที่ถูกบุกรุก^{[ 37 ]}ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์ได้อย่างต่อเนื่องตราบใดที่เว็บเชลล์ยังคงทำงานอยู่และเซิร์ฟเวอร์ Exchange ยังคงเปิดอยู่^{[ 29 ]}

ผ่านทางเว็บเชลล์ที่ติดตั้งโดยผู้โจมตี สามารถเรียกใช้คำสั่งจากระยะไกลได้ การกระทำที่สังเกตได้ ได้แก่ การดาวน์โหลดอีเมลทั้งหมดจากเซิร์ฟเวอร์ การดาวน์โหลดรหัสผ่านและที่อยู่อีเมลของผู้ใช้ เนื่องจาก Microsoft Exchange จัดเก็บข้อมูลเหล่านี้โดยไม่เข้ารหัสในหน่วยความจำการเพิ่มผู้ใช้ การเพิ่มแบ็กดอร์เพิ่มเติมให้กับระบบที่ได้รับผลกระทบ การเข้าถึงระบบอื่น ๆ ในเครือข่ายที่ไม่ได้รับผลกระทบจากการโจมตีครั้งแรก และการติดตั้งแรนซัมแวร์ [ ^{38 ] เนื่องจาก}การแก้ไขเซิร์ฟเวอร์ Exchange เพื่อป้องกันการโจมตีไม่ได้ลบแบ็กดอร์ที่ติดตั้งไว้แบบย้อนหลัง ผู้โจมตีจึงยังคงสามารถเข้าถึงเซิร์ฟเวอร์ได้จนกว่าเว็บเชลล์ แบ็กดอร์อื่น ๆ และบัญชีผู้ใช้ที่ผู้โจมตีเพิ่มเข้ามาจะถูกลบออก^{[ 39 ]}

ในวันที่ 27 และ 28 กุมภาพันธ์ 2021 มีการโจมตีอัตโนมัติ และในวันที่ 2 และ 3 มีนาคม 2021 ผู้โจมตีใช้สคริปต์เพื่อกลับไปยังที่อยู่เพื่อวางเว็บเชลล์เพื่อให้พวกเขาสามารถกลับมาได้ในภายหลัง^{[ 29 ]}อ้างถึงสัปดาห์สิ้นสุดวันที่ 7 มีนาคมDmitri Alperovitchผู้ร่วมก่อตั้งCrowdStrikeกล่าวว่า "เหยื่อทุกรายที่ยังไม่ได้แก้ไขช่องโหว่ในช่วงกลางถึงปลายสัปดาห์ที่แล้ว ได้รับผลกระทบอย่างน้อยหนึ่งรายหรือหลายรายแล้ว" ^{[ 40 ]}หลังจากมีการประกาศแพทช์ กลยุทธ์ก็เปลี่ยนไปเมื่อใช้ช่องโหว่ชุดเดียวกัน^{[ 29 ] [ 41 ]}

ยืนยันแล้วว่า Microsoft Exchange Server เวอร์ชัน 2010, 2013, 2016 และ 2019 มีความเสี่ยง แม้ว่าเวอร์ชันที่เสี่ยงจะยังไม่ได้รับการระบุอย่างครบถ้วนก็ตาม^{[ 42 ]}บริการบนคลาวด์ Exchange Online และOffice 365ไม่ได้รับผลกระทบ^{[ 43 ]}

แฮกเกอร์ได้ใช้ช่องโหว่เพื่อสอดแนมเป้าหมายที่หลากหลาย ส่งผลกระทบต่อเซิร์ฟเวอร์ประมาณ 250,000 เครื่อง^{[ 11 ] [ 44 ]}ทอม เบิร์ต รองประธานฝ่ายความปลอดภัยและความน่าเชื่อถือของลูกค้าของไมโครซอฟต์ เขียนว่าเป้าหมายรวมถึงนักวิจัยโรค สำนักงานกฎหมาย มหาวิทยาลัย ผู้รับเหมาด้านการป้องกันประเทศ องค์กรไม่แสวงหาผลกำไรและสถาบันวิจัย^{[ 28 ] [ 9 ] [ 45 ]}

โดยทั่วไปผู้ดูแลระบบเซิร์ฟเวอร์จะปิดใช้งานการอัปเดตอัตโนมัติเพื่อหลีกเลี่ยงการหยุดชะงักจากเวลาหยุดทำงานและปัญหาในซอฟต์แวร์^{[ 46 ]}และตามธรรมเนียมแล้วผู้ดูแลระบบเซิร์ฟเวอร์จะติดตั้งการอัปเดตด้วยตนเองหลังจากทดสอบการอัปเดตเหล่านี้กับซอฟต์แวร์และการตั้งค่าเซิร์ฟเวอร์ที่มีอยู่^{[ 47 ]}เนื่องจากองค์กรขนาดเล็กมักดำเนินงานภายใต้งบประมาณที่จำกัดในการดำเนินการนี้ภายในองค์กรหรือจ้างผู้ให้บริการไอทีในท้องถิ่นที่ไม่มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ การดำเนินการนี้จึงมักไม่เกิดขึ้นจนกว่าจะกลายเป็นสิ่งจำเป็น หรืออาจไม่เกิดขึ้นเลย ซึ่งหมายความว่าธุรกิจขนาดเล็กและขนาดกลาง และสถาบันในท้องถิ่น เช่น โรงเรียนและหน่วยงานรัฐบาลท้องถิ่น มักตกเป็นเหยื่อหลักของการโจมตี เนื่องจากมีแนวโน้มที่จะไม่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่ เหยื่อในชนบทมักถูกระบุว่า "ส่วนใหญ่ต้องพึ่งพาตนเอง" เนื่องจากโดยทั่วไปแล้วพวกเขาไม่มีสิทธิ์เข้าถึงผู้ให้บริการไอที^{[ 15 ]}เมื่อวันที่ 11 มีนาคม 2021 Check Point Researchเปิดเผยว่าใน 24 ชั่วโมงก่อนหน้านั้น "จำนวนความพยายามในการโจมตีองค์กรที่ติดตามเพิ่มขึ้นเป็นสามเท่าทุกๆ สองถึงสามชั่วโมง" ^{[ 48 ] [ 49 ]}

Check Point Research พบว่าสหรัฐอเมริกาเป็นประเทศที่ถูกโจมตีมากที่สุด คิดเป็น 17% ของความพยายามโจมตีทั้งหมด รองลงมาคือเยอรมนี 6% สหราชอาณาจักรและเนเธอร์แลนด์ 5% เท่ากัน และรัสเซีย 4% ของความพยายามโจมตีทั้งหมด ภาคส่วนที่ถูกโจมตีมากที่สุดคือภาค รัฐ / กองทัพคิดเป็น 23% ของความพยายามโจมตี รองลงมาคือภาคการผลิต 15% ภาคธนาคารและบริการทางการเงิน 14% ผู้จำหน่ายซอฟต์แวร์ 7% และภาคการดูแลสุขภาพ 6% ^{[ 26 ] [ 50 ]}

การโจมตีถูกค้นพบหลังจากที่พบว่าผู้โจมตีดาวน์โหลดอีเมลทั้งหมดที่เป็นของผู้ใช้เฉพาะรายบนเซิร์ฟเวอร์ Exchange ของบริษัทที่แยกจากกัน^{[ 38 ]}สถาบันวิจัยแห่งหนึ่งในวอชิงตัน ที่ไม่เปิดเผยชื่อรายงานว่าผู้โจมตีส่งอีเมลที่น่าเชื่อถือไปยังผู้ติดต่อในการโจมตี แบบวิศวกรรมสังคมที่กระตุ้นให้ผู้รับคลิกที่ลิงก์^{[ 45 ]}เมื่อวันที่ 11 มีนาคม 2021 รัฐสภานอร์เวย์ หรือStortingรายงานว่าตกเป็นเหยื่อของการแฮ็ก โดยระบุว่า "ข้อมูลถูกดึงออกมา" ^{[ 51 ]}

หน่วยงานกำกับดูแลด้านการธนาคารของยุโรปยังรายงานว่าตนเองตกเป็นเป้าหมายของการโจมตีด้วย^{[ 10 ]}ต่อมาได้ออกแถลงการณ์ว่าขอบเขตของผลกระทบต่อระบบของตนนั้น "จำกัด" และ "ความลับของระบบและข้อมูลของ EBA ไม่ได้ถูกละเมิด" ^{[ 52 ]}

บริษัทรักษาความปลอดภัยESET ระบุกลุ่ม ภัยคุกคามขั้นสูงแบบต่อเนื่อง "อย่างน้อย 10 กลุ่ม" ที่โจมตีธุรกิจด้านไอที ความปลอดภัยทางไซเบอร์ พลังงาน การพัฒนาซอฟต์แวร์สาธารณูปโภคอสังหาริมทรัพย์ โทรคมนาคม และวิศวกรรม รวมถึงหน่วยงานรัฐบาลในตะวันออกกลางและอเมริกาใต้ กลุ่ม APT กลุ่มหนึ่งถูกระบุว่าใช้โปรแกรม ดาวน์โหลด PowerShellโดยใช้เซิร์ฟเวอร์ที่ได้รับผลกระทบสำหรับการขุดคริปโตเคอร์เรนซี^{[ 7 ]} Lior Div ซีอีโอ ของ Cybereasonตั้งข้อสังเกตว่ากลุ่ม APT Hafnium "มุ่งเป้าไปที่วิสาหกิจขนาดเล็กและขนาดกลาง ... การโจมตี Microsoft Exchange มีความเสียหายมากกว่าการโจมตี SolarWinds ถึง 1,000 เท่า " ^{[ 53 ]}

เมื่อวันที่ 12 มีนาคม 2021 หน่วยข่าวกรองความปลอดภัยของ Microsoft ได้ประกาศ "ตระกูลแรนซัมแวร์ ใหม่ " ที่เรียกว่า DearCry ซึ่งถูกนำไปใช้กับเซิร์ฟเวอร์ที่ติดเชื้อในตอนแรก โดยเข้ารหัสเนื้อหาของอุปกรณ์ ทำให้เซิร์ฟเวอร์ใช้งานไม่ได้ และเรียกร้องค่าไถ่เพื่อกู้คืนไฟล์^{[ 16 ]} Microsoft ระบุว่า "ไม่มีการรับประกันว่าการจ่ายค่าไถ่จะทำให้คุณเข้าถึงไฟล์ของคุณได้" ^{[ 54 ]}

เมื่อวันที่ 18 มีนาคม 2021 กลุ่มแฮกเกอร์เรียกค่าไถ่REvilอ้างว่าได้ขโมยข้อมูลที่ไม่ได้เข้ารหัสจากบริษัทฮาร์ดแวร์และอิเล็กทรอนิกส์Acer ของไต้หวันรวมถึงอุปกรณ์จำนวนหนึ่งที่ถูกเข้ารหัส โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intel เชื่อมโยงการละเมิดข้อมูลและการโจมตีด้วยแรนซัมแวร์นี้กับการโจมตีช่องโหว่ของ Microsoft Exchange Advanced Intel ตรวจพบว่าเซิร์ฟเวอร์ Microsoft Exchange ของ Acer ถูกโจมตีเป็นครั้งแรกเมื่อวันที่ 5 มีนาคม 2021 REvil เรียกร้องค่าไถ่ 50 ล้านดอลลาร์สหรัฐโดยอ้างว่าหากจ่ายเงินจำนวนนี้ พวกเขาจะ "จัดหาตัวถอดรหัส รายงานช่องโหว่ และลบไฟล์ที่ถูกขโมย" และระบุว่าค่าไถ่จะเพิ่มขึ้นเป็นสองเท่าเป็น 100 ล้านดอลลาร์สหรัฐ หากไม่จ่ายภายในวันที่ 28 มีนาคม 2021 ^{[ 55 ]}

เมื่อวันที่ 2 มีนาคม 2021 ศูนย์ตอบสนองด้านความปลอดภัยของ Microsoft (MSRC) ได้เผยแพร่ ข้อมูล ช่องโหว่ทั่วไป (CVE) นอกรอบปกติ โดยกระตุ้นให้ลูกค้าอัปเดตแพต ช์เซิร์ฟเวอร์ Exchange เพื่อแก้ไข ช่องโหว่ที่สำคัญหลายประการ[ ^{3 ]} เมื่อวันที่ 15 มีนาคม Microsoft ได้เปิดตัวเครื่องมือ PowerShellแบบคลิกเดียว เครื่องมือบรรเทาภัยคุกคาม Exchange On-Premises ซึ่งจะติดตั้งการอัปเดตเฉพาะที่ ^{ป้องกัน}ภัยคุกคาม เรียกใช้การสแกนมัลแวร์ซึ่งตรวจจับเว็บเชลล์ที่ติดตั้งไว้ และลบภัยคุกคามที่ตรวจพบ แนะนำให้ใช้เป็นมาตรการบรรเทาชั่วคราว เนื่องจากไม่ได้ติดตั้งการอัปเดตอื่นๆ ที่มีอยู่^{[ 56 ]}

เมื่อวันที่ 3 มีนาคม 2021 หน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน ของสหรัฐฯ (CISA) ได้ออกคำสั่งฉุกเฉินบังคับให้เครือข่ายของรัฐบาลอัปเดต Exchange เป็นเวอร์ชันที่ได้รับการแก้ไขแล้ว เมื่อวันที่ 8 มีนาคม CISA ได้ทวีตข้อความที่NBC Newsอธิบายว่าเป็น "ข้อความที่ตรงไปตรงมาอย่างผิดปกติ" โดยกระตุ้นให้ "ทุกองค์กรในทุกภาคส่วน" แก้ไขช่องโหว่^{[ 57 ] [ 58 ]}

หน่วยงานทางการอื่นๆ ที่แสดงความกังวล ได้แก่ทำเนียบขาวหน่วยงานความมั่นคงแห่งชาติของนอร์เวย์และสำนักงานความปลอดภัยทางไซเบอร์และข้อมูลของสาธารณรัฐเช็ก^{[ 59 ] [ 60 ]}เมื่อวันที่ 7 มีนาคม 2021 CNNรายงานว่า คาดว่า รัฐบาลไบเดนจะจัดตั้งคณะทำงานเพื่อจัดการกับการละเมิดดัง กล่าว ^{[ 61 ]}รัฐบาลไบเดนได้เชิญองค์กรภาคเอกชนเข้าร่วมในคณะทำงาน และจะให้ข้อมูลลับแก่พวกเขาตามความจำเป็น ที่ปรึกษาด้านความมั่นคงแห่งชาติของสหรัฐฯเจค ซัลลิแวนกล่าวว่าสหรัฐฯ ยังไม่สามารถระบุผู้รับผิดชอบต่อการโจมตีได้^{[ 48 ]}

ในเดือนกรกฎาคม พ.ศ. 2564 รัฐบาลไบเดน พร้อมด้วยกลุ่มพันธมิตรตะวันตก ได้กล่าวโทษจีนอย่างเป็นทางการสำหรับการโจมตีทางไซเบอร์ รัฐบาลเน้นย้ำถึงภัยคุกคามที่ต่อเนื่องจากแฮกเกอร์ชาวจีน แต่ไม่ได้ประณามด้วยมาตรการคว่ำบาตรใดๆ ตามที่เจน พซากี เลขานุการฝ่ายสื่อสารของทำเนียบขาวกล่าว รัฐบาลไม่ได้ตัดความเป็นไปได้ที่จะมีมาตรการลงโทษจีนในอนาคต^{[ 62 ]}