Individuata una nuova variante ransomware che sfrutta le vulnerabilità ProxyLogon di Microsoft Exchange. Il nuovo ransomware si chiama DearCry e crea copie criptate dei file e cancella gli originali. Ad averne confermato l’esistenza è la stessa Microsoft tramite un tweet.
La crittografia di DearCry è basata su un sistema di crittografia a chiave pubblica che è incorporata nel codice del ransomware: agli attaccanti, quindi, non occorre contattare il server di comando e controllo dell’autore dell’attacco per crittografare i file. I server Exchange che sono impostati per consentire solo l’accesso a Internet per i servizi Exchange saranno comunque criptati. I dati crittografati non potranno essere decifrati senza la chiave, che è in possesso dell’attaccante.
DearCry infetta i sistemi tramite email di spam, false notifiche di aggiornamento software, siti Web compromessi. Quando viene eseguito, utilizza gli algoritmi di cifratura AES-256 e RSA-2048 per crittografare i file delle vittime.
Invece di richiedere un importo fisso in bitcoin per il riscatto, da spedire a uno specifico portafoglio digitale, DearCry richiede di contattare due indirizzi e-mail con cui si presume che si terranno le contrattazioni.
Durante la sua esecuzione, DearCry esegue anche un servizio denominato “msupdate” non nativo del sistema operativo Windows che viene successivamente rimosso quando il ransomware termina il suo processo di cifratura dei file. Inoltre, tutte le unità logiche presenti, ad eccezione di quelle CD-ROM, vengono crittografate utilizzando una chiave pubblica RSA.
Mark Loman, director, engineering technology office di Sophos spiega: “Dal punto di vista del comportamento di encryption, DearCry è quello che i nostri esperti di ransomware chiamano un ransomware ‘Copy’. Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati.
Sophos consiglia a chiunque utilizzi server Microsoft Exchange di applicare urgentemente una patch e cercare nella propria rete eventuali segni di attacco. Le patch da sole non significano che si è protetti, è necessario indagare al fine di identificare gli indicatori di attacco e compromissione in quanto i cybercriminali potrebbero aver già sfruttato queste vulnerabilità.
https://news.sophos.com/it-it/2021/03/16/cose-e-come-fermare-il-ransomware-dearcry/
https://twitter.com/MsftSecIntel/status/1370236539427459076
