ATTENTION AU RANSOMWARE « DEARCRY » QUI EXPLOITE LES DERNIÈRES FAILLES DE MICROSOFT EXCHANGE !
DearCry, qu'est-ce que c'est ?
DearCry est une nouvelle variante de ransomware qui exploite les mêmes vulnérabilités dans Micosoft Exchange que Hafnium en créant des copies chiffrées des fichiers attaqués et supprimant les originaux.
Le ransomware DearCry utilise l’algorithme de chiffrement symétrique AES-256 lors de sa routine de chiffrement pour chiffrer des fichiers ciblés et utilise ensuite une clé RSA-2048 pour chiffrer la clé AES pour d' autres dommages. Pour compliquer encore les choses, le système de chiffrement à clé publique utilisé pour crypter ces fichiers a sa clé publique intégrée dans le binaire du ransomware, ce qui signifie que DearCry n'a pas besoin de contacter le serveur de commande et de contrôle de l'attaquant pour crypter les fichiers sur le serveur. Par conséquent, même la configuration des serveurs Exchange pour autoriser uniquement l'accès Internet aux services Exchange sera toujours chiffrée. Sans la clé de déchiffrement, qui est détenue par les attaquants, le déchiffrement n'est pas possible.
Le ransomware cible les fichiers avec les extensions de chiffrement suivantes : .7Z, .APK, .APP, .ASPX, .AVI, .BAK, .BAT, .BIN, .BMP, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DLL, .DOC, .DOCX, .DWG, .EDB, .EDB, .EML, .EXE, .GO , .GPG, .H, .HTM, .HTML, .INI, .ISO, .JPG, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MFS, .MSG, .ORA,. PDB, .PDF, .PEM, .PGD, .PHP, .PL, .PNG, .PPS, .PPT, .PPTX, .PS, .PST, .PY, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .XML, .ZIP, .ZIPX
Une fois que tous les types de fichiers ciblés ont été localisés, les fichiers sont chiffrés et étiquetés avec une extension .CRYPT. Ces fichiers chiffrés ont également la chaîne DEARCRY! en ajout au début de l'en-tête du fichier lors du chiffrement.
Comment s'en Protéger ?
Outre l'installation immédiate des correctifs disponibles sur les serveurs Exchange, Microsoft recommande de restreindre les connexions non approuvées ou de configurer un VPN pour séparer le serveur Exchange de l'accès externe. Cependant, l'utilisation de cette atténuation ne protégera que contre la partie initiale de l'attaque. D'autres parties de la chaîne peuvent toujours être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur via des méthodes d'ingénierie sociale d'ouvrir un fichier malveillant. Dans le cas de DearCry, aucune connexion externe n'est requise pour commencer à chiffrer les fichiers une fois le malware chargé.
En raison de la facilité des perturbations et du potentiel de dommages aux opérations quotidiennes, à la réputation et à la divulgation indésirable d'informations personnelles identifiables (PII), etc., il est important de garder toutes les signatures AV et IPS à jour. Il est également important de s'assurer que toutes les vulnérabilités connues des fournisseurs au sein d'une organisation sont corrigées et mises à jour pour se protéger contre les attaquants qui s'implantent au sein d'un réseau.
La Rédaction d'Africa CyberSecurity Mag
