Hafnium Microsoft Exchange Hack: DearCry Ransomware foi lançado como um protótipo? Os especialistas da Sophos investigaram o ransomware e encontraram semelhanças com o WannaCry.
Desde que as vulnerabilidades do Microsoft Exchange se tornaram conhecidas na semana passada, o foco tem sido os ataques cibernéticos que exploram essa vulnerabilidade. Acima de tudo, o ransomware "DearCry" cria um nome inglório para si mesmo, que à primeira vista lembra um predecessor proeminente chamado "WannaCry". A Sophos Labs examinou mais de perto o novo malware e encontrou muitas indicações de que este poderia ser um protótipo de ransomware anteriormente desconhecido.
DearCry: Ransomware com uma abordagem híbrida
A primeira coisa que chama a atenção ao analisar várias amostras do DearCry é que o ransomware parece estar adotando uma abordagem híbrida. O único outro ransomware conhecido pela SophosLabs que usa essa abordagem é o WannaCry, embora ele se espalhe automaticamente e não seja tratado por humanos como o DearCry. No entanto, as semelhanças são surpreendentes: ambos primeiro criam uma cópia criptografada do arquivo atacado (Copy Encryption) e depois sobrescrevem o arquivo original para impedir a recuperação (In Place Encryption). Embora a criptografia de cópia possa permitir que as vítimas recuperem alguns dados, a criptografia local garante que os dados não possam ser recuperados por meio de ferramentas de recuperação. Por exemplo, notórios representantes de ransomware executados por humanos, como Ryuk, REvil, BitPaymer, Maze ou Clop, usam apenas criptografia direta.
DearCry e WannaCry em comparação
Existem várias outras semelhanças entre DearCry e WannaCry, incluindo os nomes e o cabeçalho adicionado aos arquivos criptografados. No entanto, essas notas não implicam automaticamente uma conexão com os desenvolvedores do WannaCry, e os recursos do DearCry diferem significativamente do WannaCry. O novo ransomware não usa um servidor de comando e controle, possui uma chave de criptografia RSA incorporada, não exibe uma interface de usuário com um cronômetro e, o mais importante, não se espalha para outros computadores na rede.
“Encontramos uma série de outras características incomuns do DearCry, incluindo o fato de que o ransomware parece ter criado novos binários para novas vítimas”, disse Mark Loman, diretor do escritório de tecnologia de engenharia da Sophos. “A lista de tipos de arquivos atacados também evoluiu de vítima para vítima. Nossa análise também mostra que o código não inclui o tipo de recurso antidetecção que normalmente esperaríamos de um ransomware, como arquivos compactados ou técnicas de ofuscação. Esses e outros sinais sugerem que o DearCry pode ser um protótipo implantado antes do previsto para explorar as vulnerabilidades atuais do Microsoft Exchange Server.”
Instale os patches do Exchange o mais rápido possível
Novamente, deve-se ressaltar que as empresas devem instalar os patches atuais da Microsoft o mais rápido possível para evitar a exploração criminosa de seu Exchange Server. Se isso não for possível, o servidor deve ser desconectado da Internet ou monitorado de perto por uma Equipe de Resposta Rápida. Além disso, nem todos ficam bem após a instalação do patch, mas uma investigação forense deve garantir que o malware ainda não tenha entrado no sistema pela brecha e esteja esperando para ser implantado.
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.