DEARCRY está apuntando a los servidores de Microsoft Exchange con exploits ProxyLogon

Se ha descubierto que el ransomware DEARCRY, recientemente descubierto, se distribuye mediante la piratería de servidores de Microsoft Exchange.

El hackeo es posible debido a las vulnerabilidades de ProxyLogon reveladas recientemente (cuatro vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065).

Al explotar estas vulnerabilidades, los atacantes pueden realizar ejecuciones remotas en servidores de Microsoft Exchange utilizando Outlook en la web (OWA).

El 9 de diciembre, varias víctimas comenzaron a enviar un nuevo no rescate y los archivos cifrados del sistema pertenecen a Michael Gillespie, el creador de ID-Ransomware, un sitio de identificación de ransomware. Gillespie descubrió que casi todos los enviados eran de servidores de Microsoft Exchange.

Además, en diferentes foros, hubo un tema en el que las personas discutían que el servidor de Microsoft Exchange estaba comprometido con la vulnerabilidad ProxyLogon y el ransomware Dearcry era la carga útil.

Hoy, Microsoft confirmó sobre esto que DEARCRY está instalado en ataques humanos abiertos en servidores Microsoft Exchange a través de las vulnerabilidades declaradas.

MalwareHunterTeam encontró tres muestras de este ransomware en VirusTotal. Estos se compilan con ejecutables MingW. Uno de ellos tiene la siguiente ruta:

C: \ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

Vitali Kremez de Advanced Intel declaró que, después de ser lanzado con éxito, DEARCRY intenta cerrar un servicio de ventana – «msupdate» (que no es un servicio de ventana legítimo).

El ransomware cifra los archivos almacenados después de esto, agrega los nombres de archivo con la extensión .CRYPT y DEARCRY! Cadena al comienzo de cada archivo cifrado. El cifrado se realiza mediante el algoritmo de cifrado AES-256 + RSA + 2048.

Después de eso, el ransomware coloca una nota de rescate en un archivo llamado readme.txt en el escritorio. La nota de rescate contiene un mensaje de exigencia de rescate, las direcciones de correo electrónico pertenecen a los delincuentes y un hash único (que es un hash MD4 de la clave pública RSA, según Gillespie).

En la actualidad, el ransomware no tiene ninguna debilidad que permita a las víctimas recuperar sus archivos de forma gratuita.

La buena noticia es que, durante los últimos tres días, se han aplicado parches a decenas de miles de servidores de Microsoft Exchange. Sin embargo, todavía hay aproximadamente 80 000 servidores más antiguos que no pueden aplicar directamente las actualizaciones de seguridad recientes, dijo Palo Alto Networks.

Matt Kraning, director de tecnología de Cortex en Palo Alto Networks, dijo: “Nunca había visto tasas de parches de seguridad tan altas para ningún sistema, y ​​mucho menos para uno tan ampliamente implementado como Microsoft Exchange. Aún así, instamos a las organizaciones que ejecutan todas las versiones de Exchange a asumir que estaban comprometidas antes de parchear sus sistemas, porque sabemos que los atacantes estaban explotando estas vulnerabilidades de día cero en la naturaleza durante al menos dos meses antes de que Microsoft lanzara los parches el 2 de marzo «