DearCry es una nuevo tipo de ransomware que explota las mismas vulnerabilidades en Micosoft Exchange que Hafnium. Crea copias cifradas de los archivos atacados y borra los originales.
El cifrado de DearCry se basa en un sistema de cifrado de clave pública. La clave de cifrado pública está incrustada en el binario del ransomware, lo que significa que no es necesario ponerse en contacto con el servidor de comando y control del atacante para cifrar los archivos.
Los servidores de Exchange que están configurados para permitir solo el acceso a Internet para los servicios de Exchange también serán cifrados. Sin la clave de descifrado (que está en posesión del atacante), el descifrado no es posible.
Detener el ransomware DearCry
Sophos Intercept X detecta y bloquea el ransomware DearCry con protecciones CryptoGuard y basadas en firmas.
Si te afecta DearCry, significa que los atacantes se han aprovechado de la persistencia establecida por Hafnium. Debes bloquear el ransomware DearCry y neutralizar a los atacantes antes de que puedan llevar a cabo más ataques.
Asegura tu red de futuros ataques
A raíz de Hafnium, varios actores ahora se están aprovechando de los problemas de Exchange/ProxyLogon para llevar a cabo una amplia variedad de ataques.
Cualquiera que tenga servidores de Microsoft Exchange en sus instalaciones debe aplicar un parche con urgencia y buscar en su red signos de ataque.
Parchear por sí solo no significa que estés protegido. También debes investigar en busca de indicadores de ataque y compromiso, ya que es posible que un ciberdelincuente ya haya aprovechado estas vulnerabilidades.
Para obtener instrucciones paso a paso sobre cómo determinar si estás afectado, consulta nuestro informe.
Si necesitas ayuda para identificar y neutralizar la posible actividad maliciosa en tu entorno, contacta con Sophos MTR.
Dejar un comentario