DEARCRY通过ProxyLogon漏洞将Microsoft Exchange服务器作为目标
最新发现的勒索软件DEARCRY已发现是通过黑客攻击Microsoft Exchange服务器来分发的。
由于最近公开的ProxyLogon漏洞(四个漏洞CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065),这种黑客攻击是可能的。
通过利用这些漏洞,攻击者可以利用Web上的Outlook(OWA)在Microsoft Exchange服务器上执行远程执行。
12月9日,许多受害者开始未提交新的勒索软件,并且该系统的加密文件属于勒索软件识别站点ID-Ransomware的创建者Michael Gillespie。 Gillespie发现提交的几乎全部来自Microsoft Exchange服务器。
同样,在不同的论坛上,有一个话题,人们讨论Microsoft Exchange Server使用ProxyLogon漏洞受到了损害,而Dearcry勒索软件就是有效载荷。
今天,Microsoft证实了这一点,即通过声明的漏洞在Microsoft Exchange服务器上以人为打开的攻击安装了DEARCRY。
MalwareHunterTeam在VirusTotal上发现了三个勒索软件样本。这些都是用MingW可执行文件编译的。其中之一具有以下路径:
C:\ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb
Advanced Intel的Vitali Kremez表示,DEARCRY成功启动后,将尝试关闭窗口服务-“ msupdate”(这不是合法的窗口服务)。
之后,勒索软件会加密存储的文件,并以.CRYPT扩展名和DEARCRY附加文件名!每个加密文件开头的字符串。加密使用AES-256 + RSA + 2048加密算法完成。
之后,勒索软件将勒索便笺放到桌面上名为readme.txt的文件下。勒索票据包含要求赎金的消息,属于骗子的电子邮件地址和唯一的哈希(根据Gillespie的说法,这是RSA公钥的MD4哈希)。
目前,勒索软件没有任何可以使受害者免费恢复其文件的弱点。
好消息是,过去三天对成千上万的Microsoft Exchange服务器进行了修补。但是,Palo Alto Networks说,仍然有大约80,000台较旧的服务器无法直接应用最新的安全更新。
帕洛阿尔托网络(Palo Alto Networks)Cortex首席技术官Matt Kraning说:“我从未见过任何系统的安全补丁率如此之高,远没有像Microsoft Exchange那样广泛部署的系统。尽管如此,我们还是敦促运行所有版本Exchange的组织在修补系统补丁之前就假设它们已经受到威胁,因为我们知道,攻击者在Microsoft于3月2日发布补丁之前,至少在两个月内一直在利用这些零日漏洞。