DearCry Ransomware

Os cibercriminosos começaram a explorar as quatro vulnerabilidades de dia zero descobertas nos servidores Exchange da Microsoft para lançar uma nova ameaça de ransomware chamada DearCry nos alvos comprometidos. O nome da nova ameaça parece ser uma homenagem ao infame ransomware WannaCry que infectou milhares de vítimas em todo o mundo alguns anos atrás, explorando um conjunto diferente de vulnerabilidades da Microsoft.

A campanha maliciosa DearCry depende dos comprometimentos do Microsoft Exchange Server por meio de vulnerabilidades do ProxyLogon para obter acesso ilegal aos dispositivos visados. Os pesquisadores da Infosec já descobriram cerca de 7000 webshells que são expostos ao público e usados pelos hackers para implantar o DearCry. A análise do código subjacente da ameaça revela que ela segue aproximadamente 80 tipos de arquivos diferentes:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Todos os arquivos incluídos no conjunto serão criptografados com uma combinação de AES-256 e RSA-2048 e ficarão inacessíveis e inutilizáveis. A ameaça injetará a string 'DEARCRY!' nos cabeçalhos dos arquivos, enquanto '.CRYPT' será acrescentado aos nomes dos arquivos originais como uma nova extensão. DearCry irá enumerar todas as unidades lógicas conectadas ao sistema antes de iniciar sua rotina de criptografia, excluindo quaisquer unidades de CD-ROM.

A nota de resgate com instruções para as vítimas é extremamente curta e não contém detalhes significativos fora dos dois endereços de e-mail que os invasores deixam como canais de comunicação. As vítimas devem iniciar o contato enviando uma mensagem para 'konedieyp@airmail.com' ou 'wewonken@memail.com'. As mensagens devem incluir a string hash específica encontrada dentro da nota de resgate.

A Microsoft emitiu um aviso oficial sobre o DearCry ransomware e aconselhou os clientes locais do Exchange Server a atualizarem seus sistemas com as atualizações de segurança do Exchange Server lançadas recentemente.