DearCry Ransomware

I criminali informatici hanno iniziato a sfruttare le quattro vulnerabilità zero-day scoperte nei server di Microsoft Exchange per rilasciare una nuova minaccia ransomware chiamata DearCry sugli obiettivi compromessi. Il nome della nuova minaccia sembra essere un omaggio al famigerato ransomware WannaCry che ha infettato migliaia di vittime in tutto il mondo un paio di anni fa sfruttando un diverso insieme di vulnerabilità di Microsoft.

La campagna dannosa DearCry si basa sulle compromissioni di Microsoft Exchange Server tramite le vulnerabilità ProxyLogon per ottenere l'accesso illegale ai dispositivi mirati. I ricercatori di Infosec hanno già scoperto quasi 7000 webshell che sono esposti al pubblico e utilizzati dagli hacker per distribuire DearCry. L'analisi del codice sottostante della minaccia rivela che segue circa 80 diversi tipi di file:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Tutti i file che rientrano nel set verranno crittografati con una combinazione di AES-256 e RSA-2048 e saranno resi inaccessibili e inutilizzabili. La minaccia inietterà la stringa "DEARCRY!" nelle intestazioni dei file mentre ".CRYPT" verrà aggiunto ai nomi dei file originali come nuova estensione. DearCry enumererà tutte le unità logiche collegate al sistema prima di avviare la sua routine di crittografia, escluse le unità CD-ROM.

La richiesta di riscatto con le istruzioni per le vittime è estremamente breve e priva di dettagli significativi al di fuori dei due indirizzi e-mail che gli aggressori lasciano come canali di comunicazione. Le vittime dovrebbero iniziare il contatto inviando un messaggio a "konedieyp@airmail.com" o "wewonken@memail.com". I messaggi devono includere la stringa hash specifica trovata all'interno della richiesta di riscatto.

Microsoft ha emesso un avviso ufficiale relativo al ransomware DearCry e consiglia ai clienti di Exchange Server locali di aggiornare i propri sistemi con gli aggiornamenti di sicurezza di Exchange Server rilasciati di recente.