Ransomware, DearCry all’attacco di server Exchange non aggiornati

Sfruttando le vulnerabilità emerse nelle passate settimane dei server basati su Microsoft Exchange si starebbe diffondendo DearCry, un nuovo pericoloso ransomware.

Si chiama DearCry, con probabile riferimento al più celebre WannaCry che provocò ingenti danni nel 2017, ed è una delle nuove minacce che starebbe sfruttando le falle ProxyLogon emerse (poi corrette da Microsoft) sui server Exchange.

Il malware sarebbe stato scoperto dal ricercatore Micheal Gillespie, autore del sito ID-Ransomware. Grazie alle analisi fatte su segnalazioni e file crittografati inviati dagli utenti al suo sito, Gillespie è riuscito a determinare la data di inizio degli attacchi (9 marzo); nonché metodiche di diffusione (Server Exchange privi di patch).

Gli stessi esperti di sicurezza Microsoft hanno in seguito confermato con un tweet l’esistenza di una nuova famiglia di malware nota come Ransom:Win32/DoejoCrypt.A; diffusa manualmente tramite le webshell esposte dagli exploit di Exchange. DearCry, appunto.

DearCry, come funziona il nuovo ransomware diffuso tramite webshell.

DearCry userebbe come veicolo di propagazione email contraffatte, allegati o siti web compromessi. Una volta avviato sul sistema ospite, il virus codifica con crittografia AES a 256 bit e RSA a 2048 bit i file presenti; cambiandone l’estensione in .crypt.

Come riporta il sito di sicurezza informatica Palo Alto Networks, il malware avvierebbe un servizio chiamato “msupdate”, gemello di quello di sistema utilizzato da Windows, parallelamente alla fase di crittazione dei file.

A questo punto, il possessore del sistema colpito dovrà contattare le email contenute in un file di testo creato dal malware sul desktop per contrattare il costo – in questo caso variabile – del riscatto della chiave di decrittazione. Con cifre che, in almeno uno dei casi denunciati, avrebbero toccato i 16 mila dollari.

LEGGI ANCHE >>> Nuova televisione digitale: gli standard (tanti) e le tv (di più) che fanno la differenza

Nonostante le raccomandazioni del reparto di sicurezza Microsoft puntino a sollecitare l’aggiornamento dei server Exchange ancora privi di patch, resta l’interrogativo su quanti siano ancora i server esposti ad eventuali attacchi e quanti, tra quelli corretti, siano stati compromessi da violazioni precedentemente avvenute.

POTREBBE INTERESSARTI >>> Instagram Reels VS TikTok, i numeri parlano chiaro

Come riportato da Bleeping Computer, secondo John Fokker, responsabile capo dell’azienda di sicurezza McAfee la diffusione geografica del Malware sarebbe lenta, ma in graduale ascesa, e limitata principalmente ad alcune nazioni: Stati Uniti, Lussemburgo, Indonesia, Irlanda, India e Germania.