DEARCRY tem como alvo os servidores Microsoft Exchange com exploits ProxyLogon
Ransomware recém-descoberto, DEARCRY foi encontrado para ser distribuído através de servidores Microsoft Exchange de hackers.
O hack é possível devido às vulnerabilidades ProxyLogon divulgadas recentemente (quatro vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065).
Explorando essas vulnerabilidades, os invasores podem executar a execução remota em servidores Microsoft Exchange utilizando o Outlook na web (OWA).
Em 9 de dezembro, várias vítimas começaram a enviar um novo resgate não e os arquivos criptografados para o sistema pertencem a Michael Gillespie, o criador do ID-Ransomware – um site de identificação de ransomware. Gillespie descobriu que quase todos os arquivos enviados eram de servidores Microsoft Exchange.
Além disso, em diferentes fóruns, houve um tópico em que as pessoas discutiam que o servidor Microsoft Exchange foi comprometido usando a vulnerabilidade ProxyLogon e o ransomware Dearcry era a carga útil.
Hoje, a Microsoft confirmou que o DEARCRY está instalado em ataques humanos abertos em servidores Microsoft Exchange através das vulnerabilidades declaradas.
MalwareHunterTeam encontrou três amostras deste ransomware no VirusTotal. Eles são compilados com executáveis MingW. Um deles tem o seguinte caminho:
C: \ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb
Vitali Kremez da Advanced Intel afirmou, após ser lançado com sucesso, o DEARCRY tenta encerrar um serviço de janela – “msupdate” (que não é um serviço de janela legítimo).
O ransomware criptografa os arquivos armazenados depois disso, acrescenta os nomes dos arquivos com a extensão .CRYPT e DEARCRY! String no início de cada arquivo criptografado. A criptografia é feita usando o algoritmo de criptografia AES-256 + RSA + 2048.
Depois disso, o ransomware deixa a nota de resgate em um arquivo chamado readme.txt na área de trabalho. A nota de resgate contém mensagem exigindo resgate, endereços de e-mail pertencem aos criminosos e um hash exclusivo (que é um hash MD4 da chave pública RSA, de acordo com Gillespie).
No momento, o ransomware não tem nenhuma fraqueza que permita às vítimas recuperarem seus arquivos gratuitamente.
A boa notícia é que dezenas de milhares de servidores Microsoft Exchange foram corrigidos nos últimos três dias. No entanto, ainda existem cerca de 80.000 servidores mais antigos que não podem aplicar diretamente as atualizações de segurança recentes, disse a Palo Alto Networks.
Matt Kraning, diretor de tecnologia da Cortex da Palo Alto Networks, disse: “Nunca vi taxas de patch de segurança tão altas para qualquer sistema, muito menos um tão amplamente implantado como o Microsoft Exchange. Ainda assim, pedimos às organizações que executam todas as versões do Exchange que presumam que foram comprometidas antes de corrigirem seus sistemas, porque sabemos que os invasores estavam explorando essas vulnerabilidades de dia zero à solta por pelo menos dois meses antes de a Microsoft lançar os patches em 2 de março ”.