DearCry Ransomware

Les cybercriminels ont commencé à exploiter les quatre vulnérabilités zero-day découvertes dans les serveurs Exchange de Microsoft pour déposer une nouvelle menace de ransomware appelée DearCry sur les cibles compromises. Le nom de la nouvelle menace semble être un hommage au tristement célèbre ransomware WannaCry qui a infecté des milliers de victimes à travers le monde il y a quelques années en exploitant un ensemble différent de vulnérabilités Microsoft.

La campagne malveillante DearCry s'appuie sur les compromis de Microsoft Exchange Server via les vulnérabilités ProxyLogon pour obtenir un accès illégal aux appareils ciblés. Les chercheurs d'Infosec ont déjà découvert près de 7000 webshells qui sont exposés au public et utilisés par les pirates pour déployer DearCry. L'analyse du code sous-jacent de la menace révèle qu'elle s'attaque à environ 80 types de fichiers différents:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Tous les fichiers qui font partie de l'ensemble seront cryptés avec une combinaison d'AES-256 et RSA-2048 et seront rendus à la fois inaccessibles et inutilisables. La menace injectera la chaîne "DEARCRY!" dans les en-têtes de fichier tandis que '.CRYPT' sera ajouté aux noms de fichiers d'origine en tant que nouvelle extension. DearCry énumérera tous les lecteurs logiques connectés au système avant de lancer sa routine de chiffrement, à l'exclusion des lecteurs de CD-ROM.

La note de rançon avec des instructions pour les victimes est extrêmement courte et ne contient aucun détail significatif en dehors de deux adresses e-mail que les attaquants laissent comme canaux de communication. Les victimes sont censées prendre contact en envoyant un message à «konedieyp@airmail.com» ou «wewonken@memail.com». Les messages doivent inclure la chaîne de hachage spécifique trouvée dans la note de rançon.

Microsoft a émis un avertissement officiel concernant le ransomware DearCry et conseille aux clients Exchange Server sur site de mettre à jour leurs systèmes avec les mises à jour de sécurité Exchange Server récemment publiées.