DearCry: cos’è il ransomware che attacca i server Exchange Microsoft

Se il tuo PC, smartphone o altro dispositivo è stato colpito da un ransomware, la tempestività nel recupero dei dati fa la differenza. Astieniti dall’utilizzo del dispositivo e contattaci per un preventivo e una prima diagnosi. In Recovery File siamo specializzati nel recupero dati da ransomware e offriamo il nostro servizio in tutta Italia.

contattaci bottone

Cadere vittima di un attacco ransomware è sempre un evento spiacevole, soprattutto quando l’intento è rubare dati altamente sensibili, per lucro o estorsione. Decisamente più gravi sono quelle circostanze in cui i cybercriminali sfruttano le vulnerabilità di programmi noti.

È il caso questo di Microsoft Exchange in cui, per oltre due mesi, a seguito dell’annuncio sulle quattro vulnerabilità identificate dalla nota società di informatica e rinominate ProxyLogon, i cyber criminali, hanno diffuso un nuovo ransomware tramite i server di posta elettronica.

L’exploit, inizialmente attribuito a un attore cinese è stato ora adottato per una serie di attività di criminalità informatica, l’ultima delle quali è un ransomware chiamato DearCry. 

Sophos, l’azienda che si occupa di sicurezza informatica, utilizzando l’exploit iniziale, ha ottenuto dei campioni per l’analisi, riuscendo a rilevare e fermare l’attacco del malware nominato DearCry.

Sembra che questo ransomware sia stato creato da un principiante: non è sofisticato e fa poco per nascondersi dal rilevamento. La sua caratteristica più notevole è che l’intestazione di crittografia che DearCry aggiunge ai file attaccati, è simile all’intestazione utilizzata dal famigerato ransomware WannaCry, il che sembra più di una coincidenza.

Per approfondire vedere anche le guide al recupero dati da Cryptolocker e CTB Locker.

La verità su DearCry

Il 9 marzo, tramite un tweet del ricercatore di sicurezza Michael Gillespie sono state annunciate le prime evidenze sulla comparsa delle richieste di riscatto associate al ransomware DearCry.

Tuttavia, gravi risultano le parole di Matt Kraning, CTO Cortex presso Palo Alto Networks, secondo il quale queste vulnerabilità erano state identificate mesi prima del rilascio delle patch di aggiornamento del 2 marzo 2021. Ad oggi sono ancora circa 80mila i server che non possono essere coperti dagli aggiornamenti di Microsoft. Per questo motivo, la nota società di informatica è sotto accusa di una delle attività di cyberspionaggio più gravi degli ultimi anni.

In Italia, si stima siamo stati colpiti tra gli 80mila e i 125mila server, circa, all’inizio di marzo, quando la campagna è stata scoperta. Vittime anche l’Eba l’Autorità bancaria europea, e il Gruppo Tim nella divisione Business.

Che cos’è DearCry e come agisce?

Mark Loman, noto ingegnere per conto della società Sophos, ha rilevato che le vulnerabilità di Microsoft Exchange Server hanno consentito al gruppo di hacker cinesi Hafnium di penetrare nel database e nelle caselle email delle loro vittime, per spiare o per ricattarle tramite ransomware. In particolare una delle vulnerabilità, denominata CVE-2021-26855, è stata sfruttata dagli autori dell’attacco per entrare attraverso la porta 443 negli account di posta elettronica delle organizzazioni bersaglio.

DearCry è stato identificato quindi come un ransomware “Copy” che si basa su di un sistema di crittografia a chiave pubblica, incorporata nel binario del ransomware, quindi può crittografare il file senza la necessità di contattare il server di comando e controllo dell’autore.

DearCry spiega Mark Loman “Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici, permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati”.

Questo virus quindi, prima di crittografare un file, crea un nuovo file con un nome basato sul documento che attacca, modifica le intestazioni dei file con la stringa DEARCRY!, e aggiunge un’estensione di file .CRYPT. Una volta creato, DearCry inizia a leggere il contenuto del file originale e lo riscrive, crittografato, nel file .CRYPT.

Come fermare DearCry

Fortunatamente, a differenza dei popolari e famigerati ransomware come Maze, Ryuk, Revil, Dearcry permette di recuperare i file eliminati.

La vittima che avrà subito l’attacco, visualizzerà sul desktop del proprio computer una richiesta di riscatto, non in Bitcoin, ma tramite due indirizzi e-mail da contattare con un codice hash identificativo, da fornire nell’e-mail.

Questo malware agisce tramite posta elettronica, facendo attività di spionaggio ed esfiltrazione. Una volta essersi impossessati dei dati, gli impostori agiscono con azione di lucro su vendita di dati sensibili o estorsione, nei casi più gravi.

Per contrastare questa insidia, alcuni fornitori di antivirus stanno offrendo una serie di diversi strumenti di detection, quali:

  • Win32/Filecoder.DearCry.A [ESET]
  • Trojan-Ransom.DearCry.B [GDATA]
  • Ransom-DearCry [McAfee]
  • Ransom:Win32/DoejoCrypt.A [Microsoft]
  • DearCry [Rising]
  • Win32.DEARCRY [TrendMicro]
  • Ransomware.Dearcry [Webroot]

Alcuni pratici consigli per difendersi da DearCry

Per chiunque utilizzi server Microsoft vengono consigliati una serie di piccoli aggiornamenti per prevenire un attacco di DearCry:

  • Installare sempre le patch di Exchange Server rilasciate da Microsoft. Nel caso in cui non fosse possibile installare le patch, Sophos suggerisce di disconnettere il server da Internet o di farlo monitorare attentamente da esperti di threat response;
  • Aggiornare sempre le patch con le ultime versioni;
  • Eseguire una scansione dei file, così da escludere la presenza di indicatori di attacco e compromissione;
  • Creare dei backup offline dei propri server Exchange con lo scopo di proteggere le caselle di posta dal furto, e per impedire che vengano crittografate;
  • Fare backup periodici.
Condividi questo articolo
DearCry: cos’è il ransomware che attacca i server Exchange Microsoft