DearCry Ransomware

Cyberprzestępcy zaczęli wykorzystywać cztery luki zero-day wykryte na serwerach Microsoft Exchange w celu zrzucenia nowego zagrożenia ransomware o nazwie DearCry na zaatakowane cele. Nazwa nowego zagrożenia wydaje się być hołdem złożonym niesławnemu oprogramowaniu ransomware WannaCry, które kilka lat temu zainfekowało tysiące ofiar na całym świecie, wykorzystując inny zestaw luk w zabezpieczeniach firmy Microsoft.

Złośliwa kampania DearCry opiera się na włamaniu do Microsoft Exchange Server poprzez luki ProxyLogon w celu uzyskania nielegalnego dostępu do zaatakowanych urządzeń. Badacze z Infosec odkryli już blisko 7000 powłok webshell, które są udostępniane publicznie i wykorzystywane przez hakerów do wdrażania DearCry. Analiza podstawowego kodu zagrożenia ujawnia, że chodzi o około 80 różnych typów plików:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP, . BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Wszystkie pliki wchodzące w skład zestawu zostaną zaszyfrowane za pomocą kombinacji AES-256 i RSA-2048 i staną się zarówno niedostępne, jak i bezużyteczne. Groźba wprowadzi ciąg „DEARCRY!" do nagłówków plików, podczas gdy '.CRYPT' zostanie dodane do oryginalnych nazw plików jako nowe rozszerzenie. DearCry wyliczy wszystkie napędy logiczne podłączone do systemu przed zainicjowaniem procedury szyfrowania, wyłączając wszelkie napędy CD-ROM.

Notatka z żądaniem okupu z instrukcjami dla ofiar jest niezwykle krótka i nie zawiera żadnych istotnych szczegółów poza dwoma adresami e-mail, które atakujący pozostawiają jako kanały komunikacji. Ofiary powinny nawiązać kontakt, wysyłając wiadomość na adres „konedieyp@airmail.com" lub „wewonken@memail.com". Wiadomości muszą zawierać określony skrót, który można znaleźć w żądaniu okupu.

Firma Microsoft wydała oficjalne ostrzeżenie dotyczące oprogramowania ransomware DearCry i doradzała lokalnym klientom programu Exchange Server, aby zaktualizować swoje systemy za pomocą niedawno wydanych aktualizacji zabezpieczeń programu Exchange Server.