Hafnium Microsoft Exchange Hack: DearCry Ransomware було запущено як прототип? Експерти Sophos дослідили програму-вимагач і виявили схожість з WannaCry.
Оскільки минулого тижня стало відомо про вразливості Microsoft Exchange, увага зосереджена на кібератаках, які використовують цю вразливість. Перш за все, програма-вимагач «DearCry» створила собі ганебну назву, яка на перший погляд нагадує відомого попередника під назвою «WannaCry». Лабораторії Sophos уважніше вивчили нову шкідливу програму та знайшли багато ознак того, що це може бути раніше невідомий прототип програми-вимагача.
DearCry: програми-вимагачі з гібридним підходом
Перше, що вражає вас під час аналізу різних зразків DearCry, це те, що програма-вимагач, схоже, використовує гібридний підхід. Єдиним іншим програмним забезпеченням-вимагачем, відомим SophosLabs, що використовує цей підхід, є WannaCry, хоча воно поширюється автоматично і не обробляється людьми, як DearCry. Однак схожість неймовірна: обидва спочатку створюють зашифровану копію атакованого файлу (шифрування копії), а потім перезаписують оригінальний файл, щоб запобігти відновленню (шифрування на місці). Хоча Copy Encryption може дозволити жертвам відновити деякі дані, In Place Encryption гарантує, що дані не можна буде відновити за допомогою інструментів відновлення. Наприклад, горезвісні представники програм-вимагачів, як-от Ryuk, REvil, BitPaymer, Maze або Clop, використовують лише пряме шифрування.
Порівняння DearCry і WannaCry
Між DearCry і WannaCry існує ряд інших подібностей, включаючи назви та заголовок, який додається до зашифрованих файлів. Однак ці примітки не означають автоматичного зв’язку з розробниками WannaCry, і можливості DearCry суттєво відрізняються від WannaCry. Нове програмне забезпечення-вимагач не використовує командно-контрольний сервер, має вбудований ключ шифрування RSA, не відображає інтерфейс користувача з таймером і, найголовніше, не поширюється на інші комп’ютери в мережі.
«Ми виявили низку інших незвичайних рис DearCry, включаючи той факт, що програма-вимагач створила нові двійкові файли для нових жертв», — сказав Марк Ломан, директор відділу інженерних технологій Sophos. «Список типів файлів, які атакували, також змінювався від жертви до жертви. Наш аналіз також показує, що код не містить тих функцій захисту від програм-вимагачів, як-от стиснутих файлів або методів обфускації, яких ми зазвичай очікуємо від програм-вимагачів. Ці та інші ознаки свідчать про те, що DearCry може бути прототипом, розгорнутим достроково для використання поточних уразливостей Microsoft Exchange Server».
Якнайшвидше встановіть виправлення Exchange
Знову ж таки, слід зазначити, що компанії повинні якомога швидше встановити поточні виправлення Microsoft, щоб запобігти злочинній експлуатації своїх серверів Exchange. Якщо це неможливо, сервер має бути відключений від Інтернету або під ретельним наглядом групи швидкого реагування. Крім того, не всі почуваються добре після встановлення виправлення, але судове дослідження має переконатися, що зловмисне програмне забезпечення ще не потрапило в систему через проміжок і чекає на розгортання.
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.