DearCry ransomware cible les serveurs Exchange vulnérables

Microsoft a confirmé qu’une nouvelle souche de ransomware cible les serveurs microsoft exchange vulnérables sur place grâce aux vulnérabilités proxylogon dangereuses que les groupes cybercriminels se concentrer sur ceux qui n’ont pas encore, ou ne sont pas en mesure d’appliquer les correctifs conseillés.

Redmond a déclaré via un tweet que le nouveau ransomware, Ransom:Win32/DoejoCrypt.A ou DearCry, a été déployé avec compromis initial via Exchange Server. Il a déclaré que les utilisateurs de Microsoft Defender qui reçoivent des mises à jour automatiques ne devraient pas avoir besoin de prendre des mesures, mais sur prem Exchange utilisateurs devraient donner la priorité aux mises à jour qu’il a mis à disposition, plus d’informations sur lesquelles est disponible ici.

Avec de plus en plus d’acteurs malveillants s’accumulant dans les vulnérabilités ProxyLogon, l’arrivée des gangs ransomware n’était qu’une question de temps, et de nombreux observateurs avaient déjà prédit que cela se produirait.

Selon BleepingComputer, DearCry lui-même – qui semble avoir fait surface plus tôt dans la semaine – apparaît comme un ransomware raisonnablement run-of-the-mill, mais semble notamment ne contenir aucune faille qui permettrait aux victimes de décrypter leurs données gratuitement.

Callum Roxan, responsable des informations sur les menaces chez F-Secure, a déclaré: « Les derniers rapports suggèrent que la vulnérabilité est exploitée par les acteurs de la menace ransomware, il est donc encore plus impératif que les organisations patch immédiatement. Il est fort probable que tous les serveurs Exchange non patchés qui sont exposés à Internet sont déjà compromis. »

Richard Hughes, responsable de la sécurité technique chez le fournisseur de services de sécurité A&O IT Group, a déclaré que l’émergence de DearCry n’était pas une surprise. « Les mauvais acteurs passeront toutes leurs heures de veille à chercher des vulnérabilités à exploiter et, dans ce cas, ils ont été remis un sur une plaque et donc, bien sûr, ils ne seront pas perdre l’occasion, dit-il.

« Les attaques ransomware sont une source majeure de revenus financiers pour les criminels, nécessitant peu de temps ou de compétences pour exécuter, et tandis que les organisations continuent à payer ces rançons, cela restera le cas. La vulnérabilité proxylogin souligne que les organisations ne devraient jamais être complaisante en ce qui concerne leur sécurité, car la nature des vulnérabilités zero-day est telle que vous pouvez avoir une évaluation de la vulnérabilité terminée aujourd’hui et être toujours victime d’une attaque exploitant une nouvelle vulnérabilité qui est découverte demain.

Pendant ce temps, le nombre de victimes potentielles avec des serveurs vulnérables continue d’augmenter, alors même que les efforts de correction s’intensifient. Les nouvelles données fournies à Computer Weekly par des chercheurs de Spyse suggèrent qu’au moment de la rédaction de l’article, elles pourraient être aussi élevées que 283 000, avec seulement 26 % des installations à risque patchées.

Lotem Finkelstein, responsable du renseignement sur les menaces de Check Point, a déclaré qu’il voyait le nombre de tentatives d’exploits de ProxyLogon doubler toutes les deux à trois heures au cours des dernières 24 heures (11-12 mars) seulement – les verticales les plus attaquées étant les organismes gouvernementaux et militaires, suivis par la fabrication et les services financiers.

Compte tenu de la longévité des vulnérabilités, Finkelstein a souligné l’importance non seulement de patcher, mais de scanner les réseaux pour les menaces en direct et d’évaluer tous les actifs connectés.

« Les serveurs compromis pourraient permettre à un attaquant non autorisé d’extraire vos e-mails d’entreprise et d’exécuter du code malveillant à l’intérieur de votre organisation avec des privilèges élevés », a-t-il déclaré.

Calvin Gan, cadre supérieur de l’unité de défense tactique de F-Secure, a ajouté : « L’augmentation du nombre d’attaques par le biais des vulnérabilités proxylogon pourrait également être du fait d’une preuve de concept [PoC] fichier publié dans Github hier, qui a été rapidement pris vers le bas par Microsoft.

« Les attaquants ont été connus pour exploiter ce jour zéro pendant un certain temps avant que le patch a été libéré, et avec le PoC maintenant disponible publiquement, mais avec quelques bogues de code, il ya forcément des attaquants qui vont adopter cela à leur jeu d’outils pour lancer une attaque. »