Hafnium Microsoft Exchange Hack: DearCry Ransomware è stato lanciato come prototipo? Gli esperti di Sophos hanno indagato sul ransomware e hanno trovato somiglianze con WannaCry.
Da quando le vulnerabilità di Microsoft Exchange sono diventate note la scorsa settimana, l'attenzione si è concentrata sugli attacchi informatici che sfruttano questa vulnerabilità. Soprattutto, il ransomware "DearCry" si fa un nome inglorioso, che a prima vista ricorda un importante predecessore chiamato "WannaCry". Sophos Labs ha esaminato più da vicino il nuovo malware e ha trovato molte indicazioni che potrebbe trattarsi di un prototipo di ransomware precedentemente sconosciuto.
DearCry: Ransomware con un approccio ibrido
La prima cosa che colpisce quando si analizzano vari campioni di DearCry è che il ransomware sembra adottare un approccio ibrido. L'unico altro ransomware noto ai SophosLabs che utilizza questo approccio è WannaCry, sebbene si diffonda automaticamente e non sia gestito da esseri umani come DearCry. Tuttavia, le somiglianze sono sorprendenti: entrambi creano prima una copia crittografata del file attaccato (Copy Encryption) e poi sovrascrivono il file originale per impedirne il recupero (In Place Encryption). Mentre la crittografia della copia può consentire alle vittime di recuperare alcuni dati, la crittografia sul posto garantisce che i dati non possano essere recuperati tramite strumenti di ripristino. Ad esempio, famigerati rappresentanti di ransomware gestiti dall'uomo come Ryuk, REvil, BitPaymer, Maze o Clop utilizzano solo la crittografia diretta.
DearCry e WannaCry a confronto
Esistono numerose altre somiglianze tra DearCry e WannaCry, inclusi i nomi e l'intestazione che viene aggiunta ai file crittografati. Tuttavia, queste note non implicano automaticamente una connessione con gli sviluppatori di WannaCry e le capacità di DearCry differiscono in modo significativo da WannaCry. Il nuovo ransomware non utilizza un server di comando e controllo, ha una chiave di crittografia RSA incorporata, non visualizza un'interfaccia utente con un timer e, cosa più importante, non si diffonde ad altri computer sulla rete.
"Abbiamo trovato una serie di altri tratti insoliti di DearCry, incluso il fatto che il ransomware sembra aver creato nuovi file binari per nuove vittime", ha dichiarato Mark Loman, Director, Engineering Technology Office di Sophos. “Anche l'elenco dei tipi di file attaccati si è evoluto da vittima a vittima. La nostra analisi mostra anche che il codice non include il tipo di funzionalità anti-rilevamento che normalmente ci aspetteremmo da un ransomware, come file compressi o tecniche di offuscamento. Questi e altri segnali suggeriscono che DearCry potrebbe essere un prototipo implementato prima del previsto per sfruttare le attuali vulnerabilità di Microsoft Exchange Server.
Installa le patch di Exchange il prima possibile
Ancora una volta, va sottolineato che le aziende dovrebbero installare le attuali patch Microsoft il prima possibile per prevenire lo sfruttamento criminale del proprio Exchange Server. Se ciò non è possibile, il server deve essere disconnesso da Internet o attentamente monitorato da un team di risposta rapida. Inoltre, non tutti stanno bene dopo aver installato la patch, ma un'indagine forense deve garantire che il malware non sia già entrato nel sistema attraverso il divario e sia in attesa di essere distribuito.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.