DEARCRY cible les serveurs Microsoft Exchange avec des exploits ProxyLogon
Un ransomware récemment découvert, DEARCRY a été distribué via le piratage de serveurs Microsoft Exchange.
Le piratage est possible en raison des vulnérabilités ProxyLogon récemment révélées (quatre vulnérabilités CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065).
En exploitant ces vulnérabilités, les attaquants peuvent effectuer une exécution à distance sur des serveurs Microsoft Exchange en utilisant Outlook sur le Web (OWA).
Le 9 décembre, un certain nombre de victimes ont commencé à soumettre une nouvelle rançon non et les fichiers cryptés au système appartiennent à Michael Gillespie, le créateur d’ID-Ransomware – un site d’identification de ransomware. Gillespie a constaté que les soumissions provenaient presque toutes de serveurs Microsoft Exchange.
En outre, sur différents forums, il y avait un sujet où les gens discutaient du fait que le serveur Microsoft Exchange avait été compromis à l’aide de la vulnérabilité ProxyLogon et que le ransomware Dearcry était la charge utile.
Aujourd’hui, Microsoft a confirmé à ce sujet que DEARCRY est installé dans des attaques ouvertes par l’homme sur les serveurs Microsoft Exchange via les vulnérabilités déclarées.
MalwareHunterTeam a trouvé trois échantillons de ce ransomware sur VirusTotal. Ceux-ci sont compilés avec des exécutables MingW. L’un d’eux a le chemin suivant:
C: \ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb
Vitali Kremez d’Advanced Intel a déclaré qu’après avoir été lancé avec succès, DEARCRY essaie de fermer un service de fenêtre – «msupdate» (qui n’est pas un service de fenêtre légitime).
Le ransomware crypte les fichiers stockés après cela, ajoute les noms de fichiers avec l’extension .CRYPT et DEARCRY! Chaîne au début de chaque fichier chiffré. Le cryptage est effectué à l’aide de l’algorithme de cryptage AES-256 + RSA + 2048.
Après cela, le ransomware dépose la note de rançon sous un fichier nommé readme.txt sur le bureau. La note de rançon contient un message exigeant une rançon, les adresses e-mail appartiennent aux escrocs et un hachage unique (qui est un hachage MD4 de la clé publique RSA, selon Gillespie).
À l’heure actuelle, le ransomware ne présente aucune faiblesse qui permettrait aux victimes de récupérer leurs fichiers gratuitement.
La bonne nouvelle est que des dizaines de milliers de serveurs Microsoft Exchange ont été corrigés au cours des trois derniers jours. Cependant, il reste environ 80 000 serveurs plus anciens qui ne peuvent pas appliquer directement les récentes mises à jour de sécurité, a déclaré Palo Alto Networks.
Matt Kraning, directeur de la technologie chez Cortex chez Palo Alto Networks, a déclaré: «Je n’ai jamais vu des taux de correctifs de sécurité aussi élevés pour aucun système, et encore moins pour un système aussi largement déployé que Microsoft Exchange. Néanmoins, nous exhortons les organisations exécutant toutes les versions d’Exchange à supposer qu’elles ont été compromises avant de corriger leurs systèmes, car nous savons que les attaquants exploitaient ces vulnérabilités zero-day dans la nature pendant au moins deux mois avant que Microsoft ne publie les correctifs le 2 mars. »