DEARCRYは、ProxyLogonエクスプロイトを使用してMicrosoftExchangeサーバーをターゲットにしています
新たに発見されたランサムウェアであるDEARCRYは、MicrosoftExchangeサーバーのハッキングを介して配布されていることが判明しています。 最近公開されたProxyLogonの脆弱性(4つの脆弱性CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065)が原因で、ハッキングが発生する可能性があります。 これらの脆弱性を悪用することにより、攻撃者はOutlook on the web(OWA)を利用してMicrosoftExchangeサーバー上でリモート実行を実行できます。 12月9日、多くの被害者が新しい身代金を提出し始めました。暗号化されたファイルは、身代金識別サイトであるID-Ransomwareの作成者であるMichaelGillespieに属しています。 Gillespieは、提出されたほとんどすべてがMicrosoftExchangeサーバーからのものであることを発見しました。 また、さまざまなフォーラムで、ProxyLogonの脆弱性を使用してMicrosoft Exchangeサーバーが侵害され、Dearcryランサムウェアがペイロードであると議論するトピックがありました。 本日、マイクロソフトはこれについて、記載されている脆弱性を介して、DEARCRYがMicrosoftExchangeサーバーへの人間による攻撃にインストールされていることを確認しました。 MalwareHunterTeamは、VirusTotalでこのランサムウェアの3つのサンプルを見つけました。これらはMingW実行可能ファイルでコンパイルされます。それらの1つには、次のパスがあります。 C:\ Users \ john \ Documents \ Visual...