Hafnium Microsoft Exchange Hack : DearCry Ransomware a-t-il été lancé en tant que prototype ? Les experts de Sophos ont enquêté sur le ransomware et trouvé des similitudes avec WannaCry.
Depuis que les vulnérabilités de Microsoft Exchange ont été connues la semaine dernière, l'accent a été mis sur les cyberattaques qui exploitent cette vulnérabilité. Surtout, le ransomware "DearCry" se fait un nom peu glorieux, qui à première vue rappelle un prédécesseur de premier plan appelé "WannaCry". Les Sophos Labs ont examiné de plus près le nouveau malware et ont trouvé de nombreuses indications qu'il pourrait s'agir d'un prototype de ransomware jusque-là inconnu.
DearCry : Ransomware avec une approche hybride
La première chose qui vous frappe lors de l'analyse de divers échantillons de DearCry est que le ransomware semble adopter une approche hybride. Le seul autre ransomware connu des SophosLabs utilisant cette approche est WannaCry, bien qu'il se propage automatiquement et ne soit pas géré par des humains comme DearCry. Cependant, les similitudes sont étonnantes : les deux créent d'abord une copie cryptée du fichier attaqué (Copy Encryption), puis écrasent le fichier d'origine pour empêcher la récupération (In Place Encryption). Alors que Copy Encryption peut permettre aux victimes de récupérer certaines données, In Place Encryption garantit que les données ne peuvent pas être récupérées via des outils de récupération. Par exemple, des représentants notoires de rançongiciels gérés par des humains tels que Ryuk, REvil, BitPaymer, Maze ou Clop n'utilisent que le cryptage direct.
DearCry et WannaCry en comparaison
Il existe un certain nombre d'autres similitudes entre DearCry et WannaCry, notamment les noms et l'en-tête ajoutés aux fichiers cryptés. Cependant, ces notes n'impliquent pas automatiquement une connexion avec les développeurs de WannaCry, et les capacités de DearCry diffèrent considérablement de celles de WannaCry. Le nouveau ransomware n'utilise pas de serveur de commande et de contrôle, possède une clé de cryptage RSA intégrée, n'affiche pas d'interface utilisateur avec une minuterie et, surtout, ne se propage pas à d'autres ordinateurs du réseau.
"Nous avons trouvé un certain nombre d'autres caractéristiques inhabituelles de DearCry, notamment le fait que le ransomware semble avoir créé de nouveaux fichiers binaires pour les nouvelles victimes", a déclaré Mark Loman, directeur, Engineering Technology Office chez Sophos. « La liste des types de fichiers attaqués a également évolué d'une victime à l'autre. Notre analyse montre également que le code n'inclut pas le type de fonctionnalités anti-détection que nous attendrions normalement d'un ransomware, comme les fichiers compressés ou les techniques d'obscurcissement. Ces signes et d'autres suggèrent que DearCry pourrait être un prototype déployé plus tôt que prévu pour exploiter les vulnérabilités actuelles de Microsoft Exchange Server.
Installez les correctifs Exchange dès que possible
Encore une fois, il convient de souligner que les entreprises doivent installer les correctifs Microsoft actuels dès que possible pour empêcher l'exploitation criminelle de leur serveur Exchange. Si cela n'est pas possible, le serveur doit être déconnecté d'Internet ou surveillé de près par une équipe d'intervention rapide. De plus, tout le monde ne va pas bien après l'installation du correctif, mais une enquête médico-légale doit s'assurer qu'un logiciel malveillant n'est pas déjà entré dans le système via la faille et attend d'être déployé.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.