Threat Database Ransomware DearCry ransomware

DearCry ransomware

Los ciberdelincuentes han comenzado a explotar las cuatro vulnerabilidades de día cero descubiertas en los servidores Exchange de Microsoft para lanzar una nueva amenaza de ransomware llamada DearCry en los objetivos comprometidos. El nombre de la nueva amenaza parece ser un homenaje al infame ransomware WannaCry que infectó a miles de víctimas en todo el mundo hace un par de años al explotar un conjunto diferente de vulnerabilidades de Microsoft.

La campaña maliciosa DearCry se basa en los compromisos de Microsoft Exchange Server a través de las vulnerabilidades de ProxyLogon para obtener acceso ilegal a los dispositivos objetivo. Los investigadores de Infosec ya han descubierto cerca de 7000 webshells que están expuestos al público y son utilizados por los piratas informáticos para implementar DearCry. El análisis del código subyacente de la amenaza revela que persigue aproximadamente 80 tipos de archivos diferentes:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Todos los archivos incluidos en el conjunto se cifrarán con una combinación de AES-256 y RSA-2048 y se volverán inaccesibles e inutilizables. La amenaza inyectará la cadena 'DEARCRY!' en los encabezados del archivo, mientras que '.CRYPT' se agregará a los nombres de archivo originales como una nueva extensión. DearCry enumerará todas las unidades lógicas conectadas al sistema antes de iniciar su rutina de cifrado, excluyendo cualquier unidad de CD-ROM.

La nota de rescate con instrucciones para las víctimas es extremadamente corta y carece de detalles significativos fuera de dos direcciones de correo electrónico que los atacantes dejan como canales de comunicación. Se supone que las víctimas deben iniciar el contacto enviando un mensaje a 'konedieyp@airmail.com' o 'wewonken@memail.com'. Los mensajes deben incluir la cadena hash específica que se encuentra dentro de la nota de rescate.

Microsoft ha emitido una advertencia oficial sobre el ransomware DearCry y ha advertido a los clientes de Exchange Server locales que actualicen sus sistemas con las actualizaciones de seguridad de Exchange Server lanzadas recientemente.

Artículos Relacionados

Tendencias

Mas Visto

Cargando...