DearCry. Τι είναι και πως να το σταματήσετε
Το DearCry είναι ένα νέο στέλεχος ransomware που εκμεταλλεύεται τις ίδιες ευπάθειες στο Microsoft Exchange με την απειλή Hafnium.
To DearCry δημιουργεί κρυπτογραφημένα αντίγραφα των αρχείων που έχουν δεχτεί την επίθεση και διαγράφει τα πρωτότυπα. Η κρυπτογράφηση που χρησιμοποιεί το DearCry βασίζεται σε ένα κρυπτοσύστημα δημοσίου κλειδιού. Το δημόσιο κλειδί κρυπτογράφησης είναι ενσωματωμένο, κάτι που σημαίνει ότι δεν απαιτείται επικοινωνία με κάποιον διακομιστή command-and-control για να κρυπτογραφηθούν τα αρχεία σας.
Λάβετε υπόψη σας, ότι ακόμα και οι διακομιστές Microsoft Exchange που έχουν ρυθμιστεί να επιτρέπουν την πρόσβαση στο Διαδίκτυο μόνο για τις υπηρεσίες Exchange παραμένουν ευάλωτοι και μπορούν να κρυπτογραφηθούν. Και χωρίς το κλειδί αποκρυπτογράφησης (το οποίο βρίσκεται στην κατοχή του εισβολέα) δεν είναι δυνατή η αποκρυπτογράφηση.
Σταματώντας το ransomware DearCry
Το Sophos Intercept X εντοπίζει και αποκλείει το ransomware DearCry τόσο με την προστασία CryptoGuard όσο και με προστασίες που βασίζονται σε υπογραφή.
Αν έχετε προβλήματα με το DearCry, σημαίνει ότι οι επιτιθέμενοι έχουν επωφεληθεί από το «persistence» που καθιερώθηκε από την ομάδα Hafnium. Είναι επομένως απαραίτητο να αποκλείσετε το ransomware DearCry και παράλληλα να εξουδετερώσετε και τους επιτιθέμενους προτού καταφέρουν να πραγματοποιήσουν περαιτέρω επιθέσεις.
Προστατεύστε το δίκτυο σας από μελλοντικές επιθέσεις
Στον απόηχο του Hafnium, δεν είναι λίγοι οι παράγοντες που ξεκίνησαν να εκμεταλλεύονται ζητήματα Exchange/ Proxy Logon για να εξαπολύσουν σειρά επιθέσεων.
Όποιος διατηρεί διακομιστές Microsoft Exchange στις εγκαταστάσεις του, θα πρέπει να προχωρήσει επειγόντος στην εφαρμογή patches και ενημερώσεων καθώς και να αναζητήσει στο εταιρικό δίκτυο τυχόν σημάδια επίθεσης.
Όμως το patching δεν αρκεί από μόνο του για να πείτε ότι είστε προστατευμένοι. Είναι απαραίτητο να ερευνήσετε για ενδείξεις επίθεσης και παραβίασης καθώς υπάρχει περίπτωση κάποιος κακόβουλος να έχει ήδη αξιοποιήσει τις ευπάθειες.
Για αναλυτικές οδηγίες σχετικά με το πως μπορείτε να προσδιορίσετε αν έχετε επηρεαστεί μπορείτε να επισκεφτείτε την ιστοσελίδα της Sophos, εδώ.
Για βοήθεια σχετικά με τον εντοπισμό και την εξουδετέρωση ενδεχόμενης εχθρικής δραστηριότητας στο περιβάλλον σας, επικοινωνήστε με την ομάδα Sophos MTR.
Πηγή: Sophos