Il suo nome è DearCry ed è il nuovo ransomware che prende di mira i server di posta elettronica Microsoft Exchange.
I cyber criminali non perdono tempo, a soli pochi giorni dall’attacco sferrato da Hafnium, hanno iniziato a distribuire il nuovo ransomware sui server di posta elettronica non ancora patchati con gli aggiornamenti di sicurezza rilasciati dalla Microsoft.
La crittografia di DearCry è incentrata sul sistema di crittografia a chiave pubblica, incorporata nel ransomware, ciò significa che non si ha la necessità di contattare il server di comando e controllo di chi ha sferrato l’attacco per crittografare i file. I server Exchange vengono impostati per consentire solo l’accesso ad Internet per i servizi Exchange.
È un ransomware che utilizza specifici algoritmi chiamati AES 256 e RSA-2048 che hanno la capacità di crittografare i file delle vittime modificandone le intestazioni andando ad includere la dicitura DEARCRY.
Mark Loman, Director, Engineering Technology Office di Sophos afferma che questo ransomware viene chiamato un ransomware “Copy” perchè ha la capacità di creare copie criptate di file attaccati cancellandone gli originali. Questo aspetto fa in modo che i file criptati vengano memorizzati su diversi settori logici permettendo alle vittime di recuperare alcuni dati. È veramente importante che tutti i responsabili IT adottino misura precise e necessarie ed installare le patch di Microsoft per prevenire lo sfruttamento delle vulnerabilità di Microsoft Exchange.
Tutti colori che usano server Microsoft Exchange dovrebbero applicare una patch e cerca eventuali falle nella propria rete eventualmente segnata da un attacco. Le patch, però, da sole non significano che si è protetti. Bisogna indagare così da identificare gli indicatori di attacco e compromissione.
