DEARCRY está apuntando a los servidores de Microsoft Exchange con exploits ProxyLogon

Mark March 12, 2021

Se ha descubierto que el ransomware DEARCRY, recientemente descubierto, se distribuye mediante la piratería de servidores de Microsoft Exchange.

El hackeo es posible debido a las vulnerabilidades de ProxyLogon reveladas recientemente (cuatro vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065).

Al explotar estas vulnerabilidades, los atacantes pueden realizar ejecuciones remotas en servidores de Microsoft Exchange utilizando Outlook en la web (OWA).

El 9 de diciembre, varias víctimas comenzaron a enviar un nuevo no rescate y los archivos cifrados del sistema pertenecen a Michael Gillespie, el creador de ID-Ransomware, un sitio de identificación de ransomware. Gillespie descubrió que casi todos los enviados eran de servidores de Microsoft Exchange.

Además, en diferentes foros, hubo un tema en el que las personas discutían que el servidor de Microsoft Exchange estaba comprometido con la vulnerabilidad ProxyLogon y el ransomware Dearcry era la carga útil.

Hoy, Microsoft confirmó sobre esto que DEARCRY está instalado en ataques humanos abiertos en servidores Microsoft Exchange a través de las vulnerabilidades declaradas.

MalwareHunterTeam encontró tres muestras de este ransomware en VirusTotal. Estos se compilan con ejecutables MingW. Uno de ellos tiene la siguiente ruta:

C: \ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

Vitali Kremez de Advanced Intel declaró que, después de ser lanzado con éxito, DEARCRY intenta cerrar un servicio de ventana – “msupdate” (que no es un servicio de ventana legítimo).

El ransomware cifra los archivos almacenados después de esto, agrega los nombres de archivo con la extensión .CRYPT y DEARCRY! Cadena al comienzo de cada archivo cifrado. El cifrado se realiza mediante el algoritmo de cifrado AES-256 + RSA + 2048.

Después de eso, el ransomware coloca una nota de rescate en un archivo llamado readme.txt en el escritorio. La nota de rescate contiene un mensaje de exigencia de rescate, las direcciones de correo electrónico pertenecen a los delincuentes y un hash único (que es un hash MD4 de la clave pública RSA, según Gillespie).

En la actualidad, el ransomware no tiene ninguna debilidad que permita a las víctimas recuperar sus archivos de forma gratuita.

La buena noticia es que, durante los últimos tres días, se han aplicado parches a decenas de miles de servidores de Microsoft Exchange. Sin embargo, todavía hay aproximadamente 80 000 servidores más antiguos que no pueden aplicar directamente las actualizaciones de seguridad recientes, dijo Palo Alto Networks.

Matt Kraning, director de tecnología de Cortex en Palo Alto Networks, dijo: “Nunca había visto tasas de parches de seguridad tan altas para ningún sistema, y ​​mucho menos para uno tan ampliamente implementado como Microsoft Exchange. Aún así, instamos a las organizaciones que ejecutan todas las versiones de Exchange a asumir que estaban comprometidas antes de parchear sus sistemas, porque sabemos que los atacantes estaban explotando estas vulnerabilidades de día cero en la naturaleza durante al menos dos meses antes de que Microsoft lanzara los parches el 2 de marzo “

More Stories

Actualización de Windows 11: diga adiós a estas características

Mark June 25, 2021

Aplicación COVID para Android MassNotify de Massachusetts forzada por Google

Mark June 21, 2021

Novedades de Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Cómo eliminar Hunt Ransomware y recuperar archivos .hunt

Mark April 25, 2024

Cómo eliminar Diamond (Duckcryptor) Ransomware y recuperar archivos bloqueado

Mark April 25, 2024

Cómo eliminar Proxy Virus (Mac)

Mark April 25, 2024

Cómo eliminar Boydscenter.com ventanas emergentes

Mark April 24, 2024

Cómo eliminar AgentUpdater el software publicitario (Mac)

Mark April 24, 2024