ransomwares
Products and Services PRODUCTS & SERVICES

Cos’è e come fermare il ransomware DearCry

DearCry è una nuova variante ransomware che sfrutta le stesse vulnerabilità di Microsoft Exchange di cui ha già approfittato di recente l’attacco sferrato da Hafnium: crea copie criptate dei file e cancella gli originali.

I server Exchange che sono impostati per consentire solo l’accesso a Internet per i servizi Exchange saranno comunque criptati. Senza la chiave di decriptazione, in mano ai cybercriminali, l’accesso ai dati non è ovviamente possibile

La crittografia di DearCry è basata su un sistema di crittografia a chiave pubblica, che è incorporata nel binario del ransomware, il che significa che non ha bisogno di contattare il server di comando e controllo dell’autore dell’attacco per crittografare i file. I server Exchange che sono impostati per consentire solo l’accesso a Internet per i servizi Exchange saranno comunque criptati.

Mark Loman, director, engineering technology office di Sophos spiega: “Dal punto di vista del comportamento di encryption, DearCry è quello che i nostri esperti di ransomware chiamano un ransomware ‘Copy’. Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati

I ransomware più noti, come Ryuk, REvil, BitPaymer, Maze e Clop, sono ransomware ‘In-Place’, dove l’attacco fa sì che il file criptato venga memorizzato su settori logicamente uguali, rendendo impossibile il recupero tramite strumenti di undelete.

È interessante sottolineare che anche WannaCry era un Copy ransomware. DearCry non solo condivide un nome simile, ma ha anche un’intestazione di file simile in modo preoccupante.

Diventa dunque estremamente urgente per i responsabili IT adottare le misure necessarie e installare le patch di Microsoft per prevenire lo sfruttamento delle vulnerabilità di Microsoft Exchange. Se questo non è possibile, il server dovrebbe essere disconnesso da Internet o monitorato da vicino da un threat response team. Ci aspettavamo che gli aggressori avrebbero approfittato dei problemi di Exchange/ProxyLogon, dando luogo a molti altri attacchi simili”.

Proteggere le reti da attacchi futuri

Come già avvenuto con l’attacco Hafnium, sempre più cybercriminali stanno approfittando dei problemi di Exchange/ProxyLogon per condurre una serie di attacchi.

Chiunque utilizzi server Microsoft Exchange dovrebbe applicare urgentemente una patch e cercare nella propria rete eventuali segni di attacco.

Le patch da sole non significano che si è protetti. È necessario indagare al fine di identificare gli indicatori di attacco e compromissione, in quanto i cybercriminali potrebbero aver già sfruttato queste vulnerabilità.