ΑρχικήsecurityDearCry ransomware: Στοχεύει unpatched Microsoft Exchange servers

DearCry ransomware: Στοχεύει unpatched Microsoft Exchange servers

Εγκληματίες του κυβερνοχώρου στοχεύουν τώρα Microsoft Exchange servers με ένα νέο ransomware που ονομάζεται “DEARCRY“. Οι επιτιθέμενοι εγκαθιστούν το ransοmware αφού πρώτα έχουν παραβιάσει τους servers χρησιμοποιώντας τις ευπάθειες ProxyLogon, που αποκαλύφθηκαν πρόσφατα.

Microsoft Exchange servers

Όταν η Microsoft αποκάλυψε ότι εγκληματίες του κυβερνοχώρου παραβίαζαν Microsoft Exchange servers χρησιμοποιώντας νέες zero-day ευπάθειες, πολλοί φοβήθηκαν ότι οι επιτιθέμενοι θα άρχιζαν σύντομα να αξιοποιούν τις ευπάθειες για να πραγματοποιήσουν ransomware επιθέσεις.

Δείτε επίσης: Κοινοβούλιο της Νορβηγίας: Κλάπηκαν data κατά το Microsoft Exchange hack

Καθώς φαίνεται, ο φόβος αυτός βγήκε αληθινός, αφού τώρα οι επιτιθέμενοι στοχεύουν Microsoft Exchange servers με το DearCry ransomware.

DearCry ransomware

Σύμφωνα με τον Michael Gillespie, τον δημιουργό του site αναγνώρισης ransomware, ID-Ransοmware, τις τελευταίες τρεις ημέρες, διάφοροι χρήστες άρχισαν να αναφέρουν ότι έπεσαν θύματα ενός νέου ransomware.

Ο Gillespie ανακάλυψε ότι σχεδόν όλες οι αναφορές σχετίζονταν με Microsoft Exchange servers.

Η Microsoft επιβεβαίωσε ότι το DearCry ransomware χρησιμοποιείται σε επιθέσεις σε Microsoft Exchange servers, με την αξιοποίηση των ευπαθειών ProxyLogon.

Το MalwareHunterTeam μπόρεσε να βρει τρία δείγματα αυτού του ransοmware στο VirusTotal. Όλα είναι MingW-compiled εκτελέσιμα.

Σύμφωνα με τον Vitali Kremez της Advanced Intel, αρχικά το DearCry ransomware προσπαθεί να κλείσει μια Windows υπηρεσία με το όνομα “msupdate”. Δεν είναι γνωστή η λειτουργία αυτής της υπηρεσίας, αλλά μάλλον δεν είναι νόμιμη υπηρεσία των Windows.

Στη συνέχεια, το ransοmware αρχίζει να κρυπτογραφεί τα αρχεία στον υπολογιστή. Κατά την κρυπτογράφηση αρχείων, προσαρτά την επέκταση .CRYPT.

DearCry ransomware

Ο Gillespie είπε στο BleepingComputer ότι το ransοmware χρησιμοποιεί AES-256 + RSA-2048 για την κρυπτογράφηση των αρχείων.

Με την ολοκλήρωση της κρυπτογράφησης του υπολογιστή, το ransomware δημιουργεί ένα σημείωμα λύτρων με το όνομα “readme.txt” στην επιφάνεια εργασίας των Windows. Το σημείωμα περιέχει δύο διευθύνσεις ηλεκτρονικού ταχυδρομείου για τους επιτιθέμενους και έναν μοναδικό hash, που σύμφωνα με τον Gillespie, είναι ένα MD4 hash του RSA public key.

Ένα από τα θύματα δήλωσε ότι οι hackers του ζήτησαν 16.000 $.

Δείτε επίσης: Ransomware: Μειώνονται τα απαιτούμενα λύτρα αφού τα θύματα αρνούνται να πληρώσουν

Προς το παρόν, δεν έχουν βρεθεί “αδυναμίες” του ransomware, που θα επέτρεπαν στους χρήστες Microsoft Exchange servers να ανακτήσουν τα δεδομένα τους, χωρίς να πληρώσουν τα λύτρα.

Ενημερώστε τα συστήματα άμεσα!

Όπως είπαμε και παραπάνω, η εγκατάσταση του ransomware γίνεται χάρη στην εκμετάλλευση των ευπαθειών ProxyLogon. Επομένως, σε κίνδυνο βρίσκονται οι unpatched (μη ενημερωμένοι) Microsoft Exchange servers.

Χρήσιμη πληροφορία: Η Microsoft διορθώνει τα zero-day σφάλματα του Exchange

Σύμφωνα με νέα δεδομένα της Palo Alto Networks, δεκάδες χιλιάδες Micrοsoft Exchange servers έχουν ενημερωθεί τις τελευταίες τρεις ημέρες. Ωστόσο, η εταιρεία υποστηρίζει ότι εξακολουθούν να υπάρχουν περίπου 80.000 servers που δεν έχουν εφαρμόσει τις πρόσφατες ενημερώσεις ασφαλείας.

Όλοι οι οργανισμοί θα πρέπει να εφαρμόσουν τα patches το συντομότερο δυνατό για να μην πέσουν θύματα του DearCry ransomware αλλά κι άλλων επιθέσεων.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS