Analiza pojawiających się Oprogramowanie ransomware DearCry, który do tej pory zainfekował ograniczoną liczbę organizacji ujawnionych za pośrednictwem domeny Luki w zabezpieczeniach serwera ProxyLogon w programie Microsoft Exchange Server, odkrył rzadkie zachowanie ataku szyfrowania, które było wcześniej widoczne w WannaCry, według naukowców z Sophos.
Mark Loman, dyrektor biura technologii inżynieryjnych Sophos, zbadał próbki DearCry uzyskane podczas udaremnionego cyberataku na jednego z klientów firmy i stwierdził, że jest to stosunkowo mało wyszukane i niewiele robi, aby zaciemnić swoją obecność, więc prawdopodobnie zostało stworzone przez kogoś nowego w grze.
Jednak, powiedział Loman, jego analiza ujawniła również rzadkie „hybrydowe” podejście do szyfrowania, które, jak powiedział, widział tylko w przypadku WannaCry.
„Obaj najpierw tworzą zaszyfrowaną kopię zaatakowanego pliku, podejście, które nazywamy szyfrowaniem„ kopiuj ”, a następnie nadpisują oryginalny plik, aby zapobiec odzyskaniu, co nazywamy szyfrowaniem„ na miejscu ”- powiedział Loman. „Kopiowanie oprogramowania ransomware umożliwia ofiarom potencjalne odzyskanie niektórych danych. Jednak w przypadku szyfrowania „w miejscu” odzyskanie za pomocą narzędzi przywracających nie jest możliwe. Znane oprogramowanie ransomware obsługiwane przez ludzi, takie jak Ryuk, REvil, BitPaymer, Maze i Cl0p, używają tylko szyfrowania „w miejscu”. ”
Podobieństwa między DearCry i WannaCry nie kończą się na tym, powiedział – nazwy i nagłówki dodawane do zaszyfrowanych plików również mają wiele wspólnego. Nie jest to jednak wystarczający dowód, aby powiązać DearCry z twórcą WannaCry, ostrzegł Loman, a niektóre z kodu, podejścia i umiejętności DearCry są zasadniczo różne. Na przykład nie korzysta z serwera poleceń i kontroli (C2), ma wbudowany klucz szyfrowania RSA, nie wyświetla interfejsu użytkownika z zegarem i, co ważne i na szczęście, nie rozprzestrzenia się na inne maszyny w sieci docelowej.
„Znaleźliśmy wiele innych niezwykłych cech DearCry, w tym fakt, że aktor ransomware tworzy nowe pliki binarne dla nowych ofiar. Lista typów plików będących celem ewoluowała również od ofiary do ofiary ”- powiedział Loman.
„Nasza analiza pokazuje ponadto, że kod nie zawiera funkcji ochrony przed wykrywaniem, których normalnie można by się spodziewać po oprogramowaniu ransomware, takich jak pakowanie lub zaciemnianie. Te i inne oznaki sugerują, że DearCry może być prototypem, prawdopodobnie rzuconym do użycia w celu wykorzystania okazji stwarzanej przez luki w Microsoft Exchange Server lub stworzonym przez mniej doświadczonych programistów. ”
Loman dodał, że obrońcy powinni podjąć pilne kroki, aby zainstalować łaty Microsoftu, aby zapobiec wykorzystywaniu ich lokalnych serwerów Exchange, a jeśli nie jest to możliwe, całkowicie odłączyć je od Internetu lub obserwować je jak jastrząb. Więcej informacji na temat próbek DearCry przeanalizowanych przez Sophos można znaleźć tutaj.
Do tej pory tylko bardzo niewielka liczba organizacji została dotknięta DearCry, które po raz pierwszy zostało zgłoszone we wtorek 9 marca przed potwierdzeniem przez Microsoft w dalszej części tygodnia. Na początku został zauważony przez ID Ransomware twórca Michael Gillespie, który odkrył, że jest przesyłany z serwerów Exchange do systemu ID Ransomware.
Od czwartku 11 marca na ID Ransomware z Australii, Kanady i Stanów Zjednoczonych zgłoszono sześć unikalnych ataków, które można przypisać DearCry, a ofiary mogą być również w Austrii i Danii.