El nuevo DEARCRY Ransomware se dirige a los servidores de Microsoft Exchange

Un nuevo ransomware llamado "DEARCRY" tiene como objetivo los servidores de Microsoft Exchange, y una víctima afirma haber sido infectada con las vulnerabilidades de ProxyLogon.

Desde que Microsoft reveló a principios de este mes que los actores de amenazas estaban comprometiendo los servidores de Microsoft Exchange utilizando nuevas vulnerabilidades de ProxyLogon de día cero, una preocupación importante ha sido cuándo los actores de amenazas lo usarían para distribuir ransomware.

A partir del 9 de marzo, parece que un grupo de piratas informáticos apuntan a los servidores de Exchange y los cifran con el nuevo ransomware "DearCry". Aunque una víctima afirmó que se instaló después de ser explotada por las vulnerabilidades de ProxyLogon, esto no se ha confirmado.

DearCry ransomware

Segundo Michael Gillespie, el creador del sitio de identificación de ransomware ID-ransomware, a partir del 9 de marzo, los usuarios comenzaron a enviar una nueva nota de rescate y un tipo de archivo cifrado a su sistema.

Después de revisar las presentaciones, Gillespie descubrió que los usuarios las enviaban casi todas desde los servidores de Microsoft Exchange.

El 9 de marzo, una víctima creó un tema de foro en los foros de BleepingComputer alegando que su servidor Microsoft Exchange estaba comprometido usando las vulnerabilidades de ProxyLogon, con el ransomware DearCry como carga útil.

MalwareHunterEquipo pudo encontrar tres ejemplos en VirusTotal, todos ejecutables compilados por MingW. El analizado por BleepingComputer incluye la siguiente ruta PDB:

C:UsersjohnDocumentsVisual Studio 2008ProjectsEncryptFile -svcV2ReleaseEncryptFile.exe.pdb

Según Advanced Intel's Vitali KremezUna vez iniciado, DearCry ransomware intentará cerrar un servicio de Windows llamado "msupdate". No se sabe qué es este servicio, pero no parece ser un servicio legítimo de Windows.

El ransomware ahora comenzará a cifrar archivos en su computadora. Durante el cifrado de archivos, el archivo se agregará .CRIPTA extensión el nombre del archivo, como se muestra a continuación.

Gillespie le dijo a BleepingComputer que el ransomware usa AES-256 + RSA-2048 para cifrar archivos y antepone "¡DEAR!" cadena al principio de cada archivo cifrado.

Una vez que la computadora está encriptada, el ransomware creará una simple nota de rescate llamada "readme.txt" en el escritorio de Windows. Esta nota de rescate contiene dos direcciones de correo electrónico para los actores de la amenaza y un hash único, que Gillespie afirma es un hash MD4 de la clave pública RSA.

Desafortunadamente, el ransomware no parece tener ninguna debilidad que permita a las víctimas recuperar sus archivos de forma gratuita.

¡Parche ahora!

Aunque no se ha confirmado al 100% que DearCry se instale a través de las vulnerabilidades de Microsoft Exchange ProxyLogon, es muy probable que se base en la información disponible.

Según los nuevos datos compartidos por la firma de ciberseguridad Palo Alto Networks con BleepingComputer, se han parcheado decenas de miles de servidores Microsoft Exchange durante los últimos tres días.

Desafortunadamente, Palo Alto Networks dice que todavía hay alrededor de 80,000 servidores más antiguos que no pueden aplicar directamente las actualizaciones de seguridad recientes.

"Nunca había visto tasas de parches de seguridad tan altas para ningún sistema, y ​​mucho menos para uno tan ampliamente distribuido como Microsoft Exchange", dijo Matt Kraning, director de tecnología de Cortex of Palo Alto Networks. "Sin embargo, instamos a las organizaciones que ejecutan todas las versiones de Exchange a que asuman que se vieron comprometidas antes de parchear sus sistemas, porque sabemos que los atacantes estaban explotando estas vulnerabilidades de día cero en la naturaleza durante al menos dos meses antes de que Microsoft lanzara el parche el 2 de marzo. "

Se recomienda encarecidamente que todas las organizaciones apliquen los parches lo antes posible.

No solo para proteger sus buzones de correo contra robos, sino también para evitar que se cifren.