DEARCRY sta prendendo di mira i server di Microsoft Exchange con gli exploit ProxyLogon

Ransomware scoperto di recente, è stato scoperto che DEARCRY viene distribuito tramite l’hacking dei server Microsoft Exchange.

L’hacking è possibile a causa delle vulnerabilità ProxyLogon divulgate di recente (quattro vulnerabilità CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065).

Sfruttando queste vulnerabilità, gli aggressori possono eseguire l’esecuzione remota sui server Microsoft Exchange utilizzando Outlook sul Web (OWA).

Il 9 dicembre, un certo numero di vittime ha iniziato a inviare un nuovo riscatto e file crittografati al sistema appartengono a Michael Gillespie, il creatore di ID-Ransomware, un sito di identificazione ransomware. Gillespie ha scoperto che quasi tutti gli inviati provenivano da server Microsoft Exchange.

Inoltre, su diversi forum, c’era un argomento in cui le persone discutevano che il server Microsoft Exchange era stato compromesso utilizzando la vulnerabilità ProxyLogon e il ransomware Dearcry era il carico utile.

Oggi, Microsoft ha confermato su questo che il DEARCRY è installato in attacchi aperti all’uomo sui server Microsoft Exchange attraverso le vulnerabilità dichiarate.

MalwareHunterTeam ha trovato tre campioni di questo ransomware su VirusTotal. Questi sono compilati con eseguibili MingW. Uno di loro ha il seguente percorso:

C: \ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

Vitali Kremez di Advanced Intel ha dichiarato che, dopo essere stato avviato con successo, DEARCRY tenta di chiudere un servizio finestra – “msupdate” (che non è un servizio finestra legittimo).

Il ransomware crittografa i file memorizzati dopo questo, aggiunge ai nomi dei file l’estensione .CRYPT e DEARCRY! Stringa all’inizio di ogni file crittografato. La crittografia viene eseguita utilizzando l’algoritmo di crittografia AES-256 + RSA + 2048.

Successivamente, il ransomware rilascia la richiesta di riscatto in un file denominato readme.txt sul desktop. La richiesta di riscatto contiene un messaggio di richiesta di riscatto, gli indirizzi e-mail appartengono ai criminali e un hash univoco (che è un hash MD4 della chiave pubblica RSA, secondo Gillespie).

Al momento, il ransomware non ha punti deboli che consentirebbero alle vittime di recuperare i propri file gratuitamente.

La buona notizia è che negli ultimi tre giorni sono state aggiornate decine di migliaia di server Microsoft Exchange. Tuttavia, ci sono ancora circa 80.000 server meno recenti che non possono applicare direttamente i recenti aggiornamenti di sicurezza, ha affermato Palo Alto Networks.

Matt Kraning, Chief Technology Officer, Cortex di Palo Alto Networks, ha dichiarato: “Non ho mai visto tassi di patch di sicurezza così alti per nessun sistema, tanto meno per uno ampiamente distribuito come Microsoft Exchange. Tuttavia, esortiamo le organizzazioni che eseguono tutte le versioni di Exchange a presumere di essere state compromesse prima di applicare le patch ai loro sistemi, perché sappiamo che gli aggressori stavano sfruttando queste vulnerabilità zero-day in natura per almeno due mesi prima che Microsoft rilasciasse le patch il 2 marzo. “