DEARCRYは、ProxyLogonエクスプロイトを使用してMicrosoftExchangeサーバーをターゲットにしています

新たに発見されたランサムウェアであるDEARCRYは、MicrosoftExchangeサーバーのハッキングを介して配布されていることが判明しています。

最近公開されたProxyLogonの脆弱性（4つの脆弱性CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065）が原因で、ハッキングが発生する可能性があります。

これらの脆弱性を悪用することにより、攻撃者はOutlook on the web（OWA）を利用してMicrosoftExchangeサーバー上でリモート実行を実行できます。

12月9日、多くの被害者が新しい身代金を提出し始めました。暗号化されたファイルは、身代金識別サイトであるID-Ransomwareの作成者であるMichaelGillespieに属しています。 Gillespieは、提出されたほとんどすべてがMicrosoftExchangeサーバーからのものであることを発見しました。

また、さまざまなフォーラムで、ProxyLogonの脆弱性を使用してMicrosoft Exchangeサーバーが侵害され、Dearcryランサムウェアがペイロードであると議論するトピックがありました。

本日、マイクロソフトはこれについて、記載されている脆弱性を介して、DEARCRYがMicrosoftExchangeサーバーへの人間による攻撃にインストールされていることを確認しました。

MalwareHunterTeamは、VirusTotalでこのランサムウェアの3つのサンプルを見つけました。これらはMingW実行可能ファイルでコンパイルされます。それらの1つには、次のパスがあります。

C：\ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

AdvancedIntelのVitaliKremezは、正常に起動された後、DEARCRYはウィンドウサービス「msupdate」（正当なウィンドウサービスではない）をシャットダウンしようとすると述べました。

この後、ランサムウェアは保存されたファイルを暗号化し、ファイル名に.CRYPT拡張子とDEARCRYを追加します。暗号化された各ファイルの先頭の文字列。暗号化は、AES-256 + RSA +2048暗号化アルゴリズムを使用して行われます。

その後、ランサムウェアはデスクトップ上のreadme.txtという名前のファイルの下に身代金メモをドロップします。身代金メモには、身代金を要求するメッセージ、詐欺師に属する電子メールアドレス、および一意のハッシュ（GillespieによるとRSA公開鍵のMD4ハッシュ）が含まれています。

現在、ランサムウェアには、被害者がファイルを無料で回復できるような弱点はありません。

幸いなことに、過去3日間で数万台のMicrosoftExchangeサーバーにパッチが適用されています。ただし、パロアルトネットワークスによると、最近のセキュリティアップデートを直接適用できない古いサーバーはまだ約80,000台あります。

パロアルトネットワークスのCortexの最高技術責任者であるMattKraning氏は、次のように述べています。それでも、Microsoftが3月2日にパッチをリリースする前に、攻撃者が少なくとも2か月間、これらのゼロデイ脆弱性を悪用していたことがわかっているため、Exchangeのすべてのバージョンを実行している組織は、システムにパッチを適用する前に侵害されたと見なすように促します。