Новый шифровальщик DearCry заражает Microsoft Exchange через уязвимости ProxyLogon

Киберпреступники стали эксплуатировать уязвимости в Microsoft Exchange, известные как ProxyLogon , для заражения почтовых серверов вымогательским ПО DearCry. Данный вымогатель является новым, и название для него было выбрано по маркеру "DEARCRY!", обнаруженному в зашифрованных им файлах. Microsoft Defender детектирует его как Ransom:Win32/DoejoCrypt.A.

Атаки DearCry начались как минимум с 9 марта 2021 года и были обнаружены, когда одна из пострадавших организаций загрузила копию записки с требованием выкупа на портал ID Ransomware - web-инструмент для идентификации вымогательского ПО. Судя по всему, атаки начались до публикации в открытом доступе PoC-эксплоита для уязвимостей ProxyLogon. Другими словами, операторы DearCry смогли разработать собственный эксплоит.

Атака происходит следующим образом: сначала злоумышленники получают доступ к серверу через уязвимость CVE-2021-26855, затем повышают свои привилегии с целью выполнения кода через CVE-2021-26857, а потом сохраняют постоянство на системе с помощью CVE-2021-27065. Зашифровав файлы, вымогатель добавляет к ним расширение ".CRYPT". За расшифровку злоумышленники требуют $50-110 тыс.

По данным создателя ID Ransomware, исследователя компании Emsisoft Майкла Гиллеспи (Michael Gillespie), пока что вымогатель успел заразить только шесть жертв в Австрии, Австралии, Дании, Канаде и США. Судя по IP-адресам, с которых на портал ID Ransomware были загружены образцы вредоноса, жертвами DearCry преимущественно являются маленькие фирмы, и только одна является крупной.

В настоящее время никаких уязвимостей, которые помогли бы специалистам создать бесплатный дешифратор для восстановления зашифрованных файлов, в DearCry не обнаружено. Кто стоит за атаками, пока неизвестно.