DEARCRY tem como alvo os servidores Microsoft Exchange com exploits ProxyLogon

Mark March 12, 2021

Ransomware recém-descoberto, DEARCRY foi encontrado para ser distribuído através de servidores Microsoft Exchange de hackers.

O hack é possível devido às vulnerabilidades ProxyLogon divulgadas recentemente (quatro vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065).

Explorando essas vulnerabilidades, os invasores podem executar a execução remota em servidores Microsoft Exchange utilizando o Outlook na web (OWA).

Em 9 de dezembro, várias vítimas começaram a enviar um novo resgate não e os arquivos criptografados para o sistema pertencem a Michael Gillespie, o criador do ID-Ransomware – um site de identificação de ransomware. Gillespie descobriu que quase todos os arquivos enviados eram de servidores Microsoft Exchange.

Além disso, em diferentes fóruns, houve um tópico em que as pessoas discutiam que o servidor Microsoft Exchange foi comprometido usando a vulnerabilidade ProxyLogon e o ransomware Dearcry era a carga útil.

Hoje, a Microsoft confirmou que o DEARCRY está instalado em ataques humanos abertos em servidores Microsoft Exchange através das vulnerabilidades declaradas.

MalwareHunterTeam encontrou três amostras deste ransomware no VirusTotal. Eles são compilados com executáveis ​​MingW. Um deles tem o seguinte caminho:

C: \ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

Vitali Kremez da Advanced Intel afirmou, após ser lançado com sucesso, o DEARCRY tenta encerrar um serviço de janela – “msupdate” (que não é um serviço de janela legítimo).

O ransomware criptografa os arquivos armazenados depois disso, acrescenta os nomes dos arquivos com a extensão .CRYPT e DEARCRY! String no início de cada arquivo criptografado. A criptografia é feita usando o algoritmo de criptografia AES-256 + RSA + 2048.

Depois disso, o ransomware deixa a nota de resgate em um arquivo chamado readme.txt na área de trabalho. A nota de resgate contém mensagem exigindo resgate, endereços de e-mail pertencem aos criminosos e um hash exclusivo (que é um hash MD4 da chave pública RSA, de acordo com Gillespie).

No momento, o ransomware não tem nenhuma fraqueza que permita às vítimas recuperarem seus arquivos gratuitamente.

A boa notícia é que dezenas de milhares de servidores Microsoft Exchange foram corrigidos nos últimos três dias. No entanto, ainda existem cerca de 80.000 servidores mais antigos que não podem aplicar diretamente as atualizações de segurança recentes, disse a Palo Alto Networks.

Matt Kraning, diretor de tecnologia da Cortex da Palo Alto Networks, disse: “Nunca vi taxas de patch de segurança tão altas para qualquer sistema, muito menos um tão amplamente implantado como o Microsoft Exchange. Ainda assim, pedimos às organizações que executam todas as versões do Exchange que presumam que foram comprometidas antes de corrigirem seus sistemas, porque sabemos que os invasores estavam explorando essas vulnerabilidades de dia zero à solta por pelo menos dois meses antes de a Microsoft lançar os patches em 2 de março ”.

More Stories

Atualização do Windows 11: diga adeus a esses recursos

Mark June 25, 2021

Aplicativo COVID para Android Massachusetts MassNotify forçado pelo Google

Mark June 21, 2021

O que há de novo no Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Como retirar WaveStealer Trojan

Mark May 7, 2024

Como retirar Мydotheblog.com do PC

Mark May 6, 2024

Como retirar Onehortensia.com do PC

Mark May 6, 2024

Como retirar Namespace PAC_EXCEPTION, Code 261 (Mac)

Mark May 6, 2024

Como retirar HotSearch a extensão do navegador

Mark May 6, 2024