DearCry Ransomware

Cyberbrottslingar har börjat utnyttja de fyra nolldagars sårbarheter som upptäcktes i Microsofts Exchange-servrar för att släppa ett nytt ransomware-hot som heter DearCry på de komprometterade målen. Namnet på det nya hotet verkar vara en hyllning till den ökända WannaCry-ransomware som infekterade tusentals offer över hela världen för ett par år sedan genom att utnyttja en annan uppsättning Microsoft-sårbarheter.

Den skadliga kampanjen DearCry förlitar sig på Microsoft Exchange Server-kompromisser via ProxyLogon-sårbarheter för att få olaglig åtkomst till de riktade enheterna. Infosec-forskare har redan upptäckt nära 7000 webshells som exponeras för allmänheten och används av hackarna för att distribuera DearCry. Analys av den underliggande koden för hotet avslöjar att den går efter cirka 80 olika filtyper:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Alla filer som faller inom uppsättningen kommer att krypteras med en kombination av AES-256 och RSA-2048 och kommer att göras både otillgängliga och oanvändbara. Hotet kommer att injicera strängen "DEARCRY!" i filrubrikerna medan '.CRYPT' läggs till de ursprungliga filnamnen som ett nytt tillägg. DearCry kommer att räkna upp alla logiska enheter som är anslutna till systemet innan krypteringsrutinen påbörjas, exklusive CD-ROM-enheter.

Lösenpriset med instruktioner till offren är extremt kort och saknar all meningsfull information utanför två e-postadresser som angriparna lämnar som kommunikationskanaler. Offer ska initiera kontakt genom att skicka ett meddelande till antingen 'konedieyp@airmail.com' eller 'wewonken@memail.com'. Meddelandena måste innehålla den specifika hashsträngen som finns i lösensedeln.

Microsoft har utfärdat en officiell varning om DearCry-ransomware och råder lokala Exchange Server-kunder att uppdatera sina system med de nyligen släppta säkerhetsuppdateringarna för Exchange Server.