Microsoft ha annunciato, ormai alcune settimane fa, l'individuazione di una serie di attacchi 0-day contro Exchange Server. Il fine ultimo dell'attacco, che sfruttava ben 4 vulnerabilità 0day, era quello di sottrarre messaggi di posta e altre informazioni preziose.
Dietro l'attacco, così ha ricostruito pubblicamente Microsoft, si celerebbe un gruppo hacker legato al Governo Cinese, anche se i server dai quali sono partiti gli attacchi sono dislocati per la maggior parte negli Stati Uniti.
Le vulnerabilità utilizzate sono state 4, tutte 0day ovvero non individuate prima del loro utilizzo in questo attacco:
Il gruppo di vulnerabilità è stato ribattezzato ProxyLogon e, in realtà, pur con grande ritardo, è già stato risolto: Microsoft ha infatti rilasciato le patch che "tappano" le 4 falle.
Al solito però, nonostante le patch rilasciate, moltissimi server non sono stati aggiornati ed è su questi che, come confermato da un membro del Security Program Manager di Microsoft, si è rivolto l'attacco: il ransomware in questione, individuato dall'esperto di ransomware Michael Gillespie, è stato rinominato DearCry (senso dell'umorismo o rimando alla tragica vicenda di Wannacry?)
Da circa una settimana quindi Microsoft sta ribadendo a tutti gli utenti l'importanza di installare prima possibile le patch rilasciate a inizio del mese di Marzo.
Microsoft Defender customers utilizing automatic updates do not need to take additional action to receive these protections. On-premises Exchange Server customers should prioritize the security updates outlined here: https://t.co/DL1XWnitYO
— Microsoft Security Intelligence (@MsftSecIntel) March 12, 2021
Sembra che DearCry venga installato manualmente dagli attaccanti una volta ottenuto l'accesso ai sistemi tramite una delle vulnerabilità di ProxyLogon: una volta lanciato, per prima cosa crea un servizio Windows chiamato "msupdate" che viene avviato per poter eseguire la criptazione. Tale servizio Windows viene successivamente rimosso, ma soltanto al termine della routine di criptazione.
I file criptati vedono aggiunta al nome file l'estensione .CRYPT:
Fonte: Michael Gillespie |
Gillespie ha anche notato come in ogni campione di DearCry sia contenuta una chiave RSA-2048 pubblica.
Fonte: Michael Gillespie |
Il ransomware usa l'algoritmo di criptazione AES-256 per criptare i file e la chiave pubblica RSa-2048 per criptare la chiave AES. Inoltre aggiunge la stringa "DEARCY!" all'inizio di ogni file criptato.
Fonte: Michael Gillespie |
Terminata la criptazione viene rilasciata la nota di riscatto "readme.txt" sul desktop di Windows. La nota di riscatto contiene due indirizzi email di contatto e un hash unico, che secondo Gillespie è l'hash MD4 della chiave pubblica RSA incorporata nel malware.
Fonte: Michael Gillespie |
Installare le patch subito!
Lo ribadiamo, prima di dover correre ai ripari quando la situazione si è già fatta irrimediabile: gli utenti di server Microsoft Exchange devono immediatamente installare le patch. Stando ai dati di Palo Alto Network i server ancora vulnerabili sono oltre 80.000.
Qui la pagina di riferimento di Microsoft
Nessun commento:
Posta un commento