Hafnium Microsoft Exchange Hack: ¿Se ha lanzado DearCry Ransomware como prototipo? Los expertos de Sophos investigaron el ransomware y encontraron similitudes con WannaCry.
Desde que se conocieron las vulnerabilidades de Microsoft Exchange la semana pasada, la atención se ha centrado en los ciberataques que aprovechan esta vulnerabilidad. Sobre todo, el ransomware "DearCry" tiene un nombre sin gloria para sí mismo, que a primera vista recuerda a un destacado predecesor llamado "WannaCry". Sophos Labs analizó más de cerca el nuevo malware y encontró muchos indicios de que podría tratarse de un prototipo de ransomware previamente desconocido.
DearCry: ransomware con un enfoque híbrido
Lo primero que llama la atención al analizar varias muestras de DearCry es que el ransomware parece estar adoptando un enfoque híbrido. El único otro ransomware conocido por SophosLabs que usa este enfoque es WannaCry, aunque se propaga automáticamente y no es manejado por humanos como DearCry. Sin embargo, las similitudes son sorprendentes: primero crean una copia cifrada del archivo atacado (Copia de cifrado) y luego sobrescriben el archivo original para evitar la recuperación (Cifrado en el lugar). Si bien Copy Encryption puede permitir que las víctimas recuperen algunos datos, In Place Encryption garantiza que los datos no se puedan recuperar a través de herramientas de recuperación. Por ejemplo, notorios representantes de ransomware ejecutados por humanos como Ryuk, REvil, BitPaymer, Maze o Clop solo usan cifrado directo.
DearCry y WannaCry en comparación
Hay una serie de otras similitudes entre DearCry y WannaCry, incluidos los nombres y el encabezado que se agrega a los archivos cifrados. Sin embargo, estas notas no implican automáticamente una conexión con los desarrolladores de WannaCry, y las capacidades de DearCry difieren significativamente de las de WannaCry. El nuevo ransomware no utiliza un servidor de comando y control, tiene una clave de cifrado RSA incorporada, no muestra una interfaz de usuario con un temporizador y, lo que es más importante, no se propaga a otras computadoras en la red.
"Encontramos una serie de otras características inusuales de DearCry, incluido el hecho de que el ransomware parece haber creado nuevos binarios para nuevas víctimas", dijo Mark Loman, director de la oficina de tecnología de ingeniería de Sophos. “La lista de tipos de archivos atacados también ha evolucionado de víctima a víctima. Nuestro análisis también muestra que el código no incluye el tipo de características anti-detección que normalmente esperaríamos del ransomware, como archivos comprimidos o técnicas de ofuscación. Estas y otras señales sugieren que DearCry puede ser un prototipo implementado antes de lo previsto para explotar las vulnerabilidades actuales de Microsoft Exchange Server”.
Instale los parches de Exchange lo antes posible
Una vez más, cabe señalar que las empresas deben instalar los parches actuales de Microsoft lo antes posible para evitar la explotación delictiva de su Exchange Server. Si esto no es posible, el servidor debe ser desconectado de Internet o supervisado de cerca por un equipo de respuesta rápida. Además, no todos están bien después de instalar el parche, pero una investigación forense debe garantizar que el malware no haya ingresado al sistema a través de la brecha y esté esperando a ser implementado.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.