DEARCRY zielt mit ProxyLogon-Exploits auf Microsoft Exchange-Server ab

Es wurde festgestellt, dass DEARCRY, eine neu entdeckte Ransomware, über das Hacken von Microsoft Exchange-Servern verbreitet wird.

Der Hack ist aufgrund kürzlich offengelegter ProxyLogon-Sicherheitslücken möglich (vier Sicherheitslücken CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065).

Durch Ausnutzen dieser Sicherheitsanfälligkeiten können Angreifer mithilfe von Outlook im Web (OWA) eine Remote-Ausführung auf Microsoft Exchange-Servern durchführen.

Am 9. Dezember begannen eine Reihe von Opfern, ein neues Lösegeld nicht einzureichen, und verschlüsselte Dateien an das System gehören Michael Gillespie, dem Erfinder von ID-Ransomware – einer Website zur Identifizierung von Lösegeld. Gillespie stellte fest, dass die eingereichten Daten fast alle von Microsoft Exchange-Servern stammten.

Außerdem gab es in verschiedenen Foren ein Thema, in dem diskutiert wurde, dass der Microsoft Exchange-Server mithilfe der ProxyLogon-Sicherheitsanfälligkeit kompromittiert wurde und die Dearcry-Ransomware die Nutzlast war.

Microsoft hat heute bestätigt, dass DEARCRY bei offenen Angriffen auf Microsoft Exchange-Server durch die angegebenen Sicherheitsanfälligkeiten installiert ist.

MalwareHunterTeam hat drei Beispiele dieser Ransomware auf VirusTotal gefunden. Diese werden mit ausführbaren MingW-Dateien kompiliert. Einer von ihnen hat den folgenden Weg:

C: \ Benutzer \ john \ Dokumente \ Visual Studio 2008 \ Projekte \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

Vitali Kremez von Advanced Intel gab an, dass DEARCRY nach erfolgreichem Start versucht, einen Fensterdienst herunterzufahren – “msupdate” (kein legitimer Fensterdienst).

Die Ransomware verschlüsselt danach gespeicherte Dateien, hängt die Dateinamen mit der Erweiterung .CRYPT an und DEARCRY! Zeichenfolge am Anfang jeder verschlüsselten Datei. Die Verschlüsselung erfolgt mit dem Verschlüsselungsalgorithmus AES-256 + RSA + 2048.

Danach legt die Ransomware die Lösegeldnotiz unter einer Datei mit dem Namen readme.txt auf dem Desktop ab. Der Lösegeldschein enthält eine Lösegeldforderung, E-Mail-Adressen gehören den Gaunern und einen eindeutigen Hash (laut Gillespie ein MD4-Hash des öffentlichen RSA-Schlüssels).

Derzeit weist die Ransomware keine Schwachstellen auf, die es den Opfern ermöglichen würden, ihre Dateien kostenlos wiederherzustellen.

Die gute Nachricht ist, dass in den letzten drei Tagen Zehntausende von Microsoft Exchange-Servern gepatcht wurden. Es gibt jedoch immer noch ungefähr 80.000 ältere Server, die die letzten Sicherheitsupdates nicht direkt anwenden können, so Palo Alto Networks.

Matt Kraning, Chief Technology Officer von Cortex bei Palo Alto Networks, sagte: “Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie Microsoft Exchange.” Wir fordern Unternehmen, die alle Versionen von Exchange ausführen, dringend auf, davon auszugehen, dass sie vor dem Patchen ihrer Systeme kompromittiert wurden, da wir wissen, dass Angreifer diese Zero-Day-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte. “