DearCry Fidye Yazılımı

Siber suçlular, Microsoft'un Exchange sunucularında keşfedilen dört sıfırıncı gün güvenlik açığından yararlanarak, güvenliği ihlal edilmiş hedeflere DearCry adlı yeni bir fidye yazılımı tehdidini düşürmeye başladı. Yeni tehdidin adı, birkaç yıl önce farklı bir dizi Microsoft güvenlik açığından yararlanarak dünya çapında binlerce kurbana bulaşan kötü şöhretli WannaCry fidye yazılımına bir saygı duruşu gibi görünüyor.

DearCry kötü niyetli kampanyası, hedeflenen cihazlara yasa dışı erişim elde etmek için ProxyLogon güvenlik açıkları aracılığıyla Microsoft Exchange Server'ın tehlikeye girmesine dayanır. Infosec araştırmacıları, halka açık olan ve bilgisayar korsanları tarafından DearCry'ı dağıtmak için kullanılan 7000'e yakın web kabuğu keşfettiler. Tehdidin altında yatan kodun analizi, yaklaşık 80 farklı dosya türünün peşinden gittiğini ortaya koyuyor:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP, . BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Kümeye giren tüm dosyalar, AES-256 ve RSA-2048 kombinasyonu ile şifrelenecek ve hem erişilemez hem de kullanılamaz hale getirilecektir. Tehdit 'DEEARCRY!' dizesini enjekte edecek. dosya başlıklarına '.CRYPT' yeni bir uzantı olarak orijinal dosya adlarına eklenecektir. DearCry, herhangi bir CD-ROM sürücüsü hariç, şifreleme rutinini başlatmadan önce sisteme bağlı tüm mantıksal sürücüleri sıralayacaktır.

Kurbanlara yönelik talimatların yer aldığı fidye notu son derece kısa ve saldırganların iletişim kanalı olarak bıraktığı iki e-posta adresi dışında anlamlı ayrıntılardan yoksun. Mağdurların, 'konedieyp@airmail.com' veya 'wewonken@memail.com' adresine bir mesaj göndererek iletişim başlatması gerekiyor. Mesajlar, fidye notunun içinde bulunan belirli karma dizeyi içermelidir.

Microsoft, DearCry fidye yazılımıyla ilgili resmi bir uyarı yayınladı ve şirket içi Exchange Server müşterilerine sistemlerini yakın zamanda yayınlanan Exchange Server güvenlik güncellemeleriyle güncellemelerini tavsiye etti.