DearCry Ransomware

Cybercriminelen zijn begonnen met het misbruiken van de vier zero-day-kwetsbaarheden die zijn ontdekt op de Exchange-servers van Microsoft om een nieuwe ransomware-dreiging genaamd DearCry op de gecompromitteerde doelen te laten vallen. De naam van de nieuwe dreiging lijkt een eerbetoon te zijn aan de beruchte WannaCry-ransomware die een paar jaar geleden duizenden slachtoffers over de hele wereld infecteerde door een andere reeks Microsoft-kwetsbaarheden te misbruiken.

De schadelijke campagne DearCry vertrouwt op de Microsoft Exchange Server die via ProxyLogon-kwetsbaarheden wordt gecompromitteerd om illegale toegang tot de beoogde apparaten te verkrijgen. Onderzoekers van Infosec hebben al bijna 7000 webshells ontdekt die openbaar worden gemaakt en door de hackers worden gebruikt om DearCry in te zetten. Analyse van de onderliggende code van de dreiging laat zien dat het om ongeveer 80 verschillende bestandstypen gaat:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Alle bestanden die binnen de set vallen, worden versleuteld met een combinatie van AES-256 en RSA-2048 en worden zowel ontoegankelijk als onbruikbaar gemaakt. De dreiging zal de string 'DEARCRY!' in de bestandskoppen terwijl '.CRYPT' als een nieuwe extensie aan de oorspronkelijke bestandsnamen wordt toegevoegd. DearCry zal alle logische stations opsommen die op het systeem zijn aangesloten voordat de coderingsroutine wordt gestart, met uitzondering van alle cd-rom-stations.

Het losgeldbriefje met instructies voor de slachtoffers is extreem kort en bevat geen zinvolle details buiten de twee e-mailadressen die de aanvallers achterlaten als communicatiekanalen. Slachtoffers worden verondersteld contact te leggen door een bericht te sturen naar 'konedieyp@airmail.com' of 'wewonken@memail.com'. De berichten moeten de specifieke hash-string bevatten die in het losgeldbriefje staat.

Microsoft heeft een officiële waarschuwing afgegeven met betrekking tot de DearCry-ransomware en adviseert Exchange Server-klanten op locatie om hun systemen bij te werken met de onlangs uitgebrachte Exchange Server-beveiligingsupdates.