DearCry は、Hafnium と同じ Microsoft Exchange の脆弱性を悪用する新種のランサムウェアです。このランサムウェアは、ファイルのコピーを作成して暗号化し、オリジナルを削除します。
DearCry の暗号化は、公開鍵暗号方式に基づいています。公開暗号鍵はランサムウェアのバイナリに埋め込まれているため、攻撃者の C2 (C&C) サーバーと通信しなくても、ファイルを暗号化することができます。
Exchange Service へのインターネットアクセスのみを許可するように設定されている Exchange Server であっても、暗号化されます。攻撃者が持っている復号鍵がなければ、復号化は不可能です。
DearCry ランサムウェアを阻止するには
Sophos Intercept X は、CryptoGuard およびシグネチャベースの保護機能によって、DearCry ランサムウェアを検出・ブロックします。
DearCry 攻撃を受けたということは、常駐化に成功した Hafnium を攻撃者が利用したことを意味します。DearCry ランサムウェアをブロックするとともに、さらなる攻撃が実行される前に攻撃者を無力化する必要があります。
将来の攻撃からネットワークを保護する
Hafnium 攻撃の後、Exchange/ProxyLogon に存在する問題を悪用したさまざまな攻撃が実行されています。
オンプレミスの Microsoft Exchange Server が実行されている環境では、パッチを至急適用し、攻撃を受けた痕跡がないかネットワークを確認する必要があります。
パッチを適用するだけでは、保護しことにはなりません。これらの脆弱性が攻撃者によってすでに悪用されている可能性があるため、攻撃や侵害の痕跡を調査する必要もあります。
こちらのガイダンスでは、影響の有無を判断する方法をステップごとに説明しています。
お客様の環境内の潜在的な攻撃を特定し、無力化する方法については、Sophos MTR にお問い合わせください。
