DearCry Ransomware

Cyberkriminelle er begyndt at udnytte de fire nul-dages sårbarheder, der er opdaget i Microsofts Exchange-servere, for at droppe en ny ransomware-trussel kaldet DearCry på de kompromitterede mål. Navnet på den nye trussel ser ud til at være en hyldest til den berygtede WannaCry ransomware, der inficerede tusinder af ofre over hele verden for et par år siden ved at udnytte et andet sæt Microsoft-sårbarheder.

Den ondsindede DearCry-kampagne er afhængig af Microsoft Exchange Server-kompromiser via ProxyLogon-sårbarheder for at få ulovlig adgang til de målrettede enheder. Infosec-forskere har allerede opdaget tæt på 7000 webshells, der udsættes for offentligheden og bruges af hackerne til at implementere DearCry. Analyse af den underliggende kode for truslen afslører, at den går efter ca. 80 forskellige filtyper:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Alle filer, der falder inden for sættet, krypteres med en kombination af AES-256 og RSA-2048 og gøres både utilgængelige og ubrugelige. Truslen vil injicere strengen 'DEARCRY!' ind i filoverskrifterne, mens '.CRYPT' føjes til de originale filnavne som en ny udvidelse. DearCry vil opregne alle de logiske drev, der er tilsluttet systemet, inden dens krypteringsrutine påbegyndes, bortset fra eventuelle cd-rom-drev.

Løsepenge notatet med instruktioner til ofrene er ekstremt kort og mangler meningsfulde detaljer uden for to e-mail-adresser, som angriberne efterlader som kommunikationskanaler. Ofre formodes at indlede kontakt ved at sende en besked til enten 'konedieyp@airmail.com' eller 'wewonken@memail.com.' Beskederne skal indeholde den specifikke hashstreng, der findes i løsesumnoten.

Microsoft har udsendt en officiel advarsel om DearCry-ransomware og rådgivning af lokale Exchange Server-kunder om at opdatere deres systemer med de nyligt udgivne Exchange Server-sikkerhedsopdateringer.