Le ransomware DearCry attaque les serveurs Exchange avec les exploits de ProxyLogon

Les pirates informatiques distribuent un nouveau ransomware appelé « DEARCRY » après le piratage des serveurs Microsoft Exchange en utilisant les vulnérabilités Proxylogon récemment divulguées.

Depuis que Microsoft a révélé plus tôt ce mois-ci que les hackers compromettaient les serveurs Microsoft Exchange en utilisant de nouvelles vulnérabilités zero-day de ProxyLogon, nous nous attendions à ce que les pirates utilisent ces failles pour déployer des ransomware.

Les attaques ont commencé le 9 Mars

Selon Michael Gillespie, le créateur du site d’identification de ransomware ID-Ransomware, depuis le 9 Mars, les utilisateurs ont commencé à partager une nouvelle note de rançon et des fichiers cryptés à son système.

Après avoir examiné les soumissions, Gillespie a découvert que les utilisateurs ont soumis la quasi-totalité d’entre eux à partir des serveurs Microsoft Exchange.

Le 9 Mars, une victime a également créé un sujet de forum où ils affirment que leur serveur Microsoft Exchange a été compromis en utilisant les vulnérabilités ProxyLogon, avec le ransomware DearCry en tant que charge utile.

Phillip Misner, chercheur en sécurité chez Microsoft, a confirmé que DearCry, qu’ils ont décidé de nommer DoejoCrypt, est installé dans des attaques qui utilisent les nouveaux exploits de Microsoft Exchange.

John Fokker, responsable des cyber-enquêtes chez McAfee, a déclaré qu’ils voyaient des victimes aux États-Unis, au Luxembourg, en Indonésie, en Irlande, en Inde et en Allemagne.

dearcry

Bien que le nombre de détections soient encore faibles, Fokker affirme que ce nombre continue de croître.

Les fournisseurs d’anti-virus détectent actuellement DearCry en utilisant une variété de détections de ransomwares génériques. Ci-dessous, nous avons énuméré les détections les plus spécifiques:

  • Ransomware/Win.DoejoCrypt [AhnLab]
  • Win32/Filecoder.DearCry.A [ESET]
  • Win32.Trojan-Ransom.DearCry.B [GDATA]
  • Ransom-DearCry [McAfee]
  • Ransom:Win32/DoejoCrypt.A [Microsoft]
  • Ransom.DearCry [Rising]
  • Ransom/W32.DearCry [TACHYON]
  • Ransom.Win32.DEARCRY [TrendMicro]
  • W32.Ransomware.Dearcry [Webroot]

Comment le ransomware DearCry chiffre les ordinateurs?

MalwareHunterTeam a été en mesure de trouver trois échantillons de ce ransomware sur VirusTotal [1, 2, 3], avec des hashes supplémentaires ci-dessous, ce sont tous des exécutables compilés par MingW. Celui analysé par les chercheurs inclut le chemin PDB suivant :

C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Lorsqu’il est lancé, le ransomware va créer un service de Windows nommé « msupdate » qui va effectuer le chiffrement. Ce service de Windows est supprimé ultérieurement lorsque le processus de chiffrement est terminé.

Le ransomware va maintenant commencer à chiffrer les fichiers sur l’ordinateur si ils ont les extensions suivantes:

.TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML  .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD  .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

Lors du chiffrement des fichiers, il va annexer l’extension .CRYPT au nom du fichier, comme indiqué ci-dessous.

fichier chiffré dearcry

Dans chaque échantillon on peut trouvé une clé publique RSA-2048.

rsa 2048

Gillespie a déclaré que le ransomware utilise AES-256 pour chiffrer les fichiers et la clé publique RSA-2048 pour chiffrer la clé AES. Le ransomware ajoutera également la chaîne de caractère ‘DEARCRY!’ au début de chaque fichier chiffré.

dearcry

Une fois le chiffrement terminé, le ransomware va créer une simple note de rançon nommée « readme.txt » sur le bureau Windows. Cette note de rançon contient deux adresses e-mail pour les pirates informatiques et un hachage unique, que Gillespie décrit comme un hachage MD4 de la clé publique RSA intégré dans le malware.

dearcry

Pour au moins une des victimes, le groupe de ransomware a exigé une rançon de 16 000 $.

Malheureusement, le ransomware ne semble pas avoir de faiblesses qui permettraient aux victimes de récupérer leurs fichiers gratuitement.

Appliquez le patch maintenant

Selon de nouvelles données partagées par la société de cybersécurité Palo Alto Networks, des dizaines de milliers de serveurs Microsoft Exchange ont été patchés au cours des trois derniers jours.

Malheureusement, Palo Alto Networks déclare qu’il ya encore environ 80 000 anciens serveurs qui ne peuvent pas appliquer directement les mises à jour de sécurité récentes.

« Je n’ai jamais vu des taux de patch de sécurité aussi élevés pour n’importe quel système, et encore moins un aussi largement déployé que Microsoft Exchange », a déclaré Matt Kraning, Officier en chef de technologie chez Cortex de Palo Alto Networks. « Néanmoins, nous recommandons aux organisations utilisant toutes les versions d’Exchange d’agir comme si elles avaient été compromises avant qu’elles ne rafistolent leurs systèmes, parce que nous savons que les attaquants exploitaient ces vulnérabilités zero-day dans la nature pendant au moins deux mois avant que Microsoft ne déploie les correctifs le 2 mars. »

Il est fortement conseillé à toutes les organisations d’appliquer les correctifs dès que possible et de créer des sauvegardes hors ligne de leurs serveurs Exchange.

Non seulement pour empêcher vos boîtes de réception d’être volés, mais aussi pour les empêcher d’être chiffrées.

Les indicateurs de compromis de DearCry/DoejoCrypt

Les hashes associés à DearCry

SHA256: 2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff
SHA256: e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6
SHA256: feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede
SHA256: FDEC933CA1DD1387D970EEEA32CE5D1F87940DFB6A403AB5FC149813726CBD65
SHA256: 10BCE0FF6597F347C3CCA8363B7C81A8BFF52D2FF81245CD1E66A6E11AEB25DA

Les noms de fichier associés à DearCry

readme.txt

Les emails associés à DearCry

konedieyp@airmail.cc
uenwonken@memail.com

La note de rançon de DearCry

Your file has been encrypted!
If you want to decrypt, please contact us.
konedieyp@airmail.cc or uenwonken@memail.com
And please send me the following hash!
[victim id]
Laisser un commentaire