Se ha detectado una cepa de ransomware denominada DearCry que cifra los datos del correo electrónico en servidores Exchange sin parches y luego exige a las víctimas que paguen.
El ransomware está comenzando a explotar fallas recientemente reveladas en Microsoft Exchange Server.
La cepa de ransomware, denominada DearCry, ha sido detectada encriptando servidores de Exchange vulnerables en un esfuerzo por mantener los datos como rehenes. El jueves, Microsoft dijo que estaba detectando y bloqueando a DearCry para que no llegara a servidores sin parches.
We have detected and are now blocking a new family of ransomware being used after an initial compromise of unpatched on-premises Exchange Servers. Microsoft protects against this threat known as Ransom:Win32/DoejoCrypt.A, and also as DearCry.
— Microsoft Security Intelligence (@MsftSecIntel) March 12, 2021
El investigador de seguridad Michael Gillespie también notó los ataques de DearCry. Dirige un servicio , llamado ID Ransomware, donde las víctimas pueden enviar muestras de ransomware para ayudarles a identificar con qué cepa se han infectado.
El jueves, Gillespie tuiteó que ID Ransomware había recibido algunas presentaciones sobre el ransomware DearCry que llegaba a los servidores de Exchange con sede en los EE. UU., Canadá y Australia.
🚨 #Exchange Servers Possibly Hit With #Ransomware 🚨
ID Ransomware is getting sudden swarm of submissions with ".CRYPT" and filemarker "DEARCRY!" coming from IPs of Exchange servers from US, CA, AU on quick look. pic.twitter.com/wPCu2v6kVl— Michael Gillespie (@demonslay335) March 11, 2021
Una víctima de los ataques también publicó su experiencia con el ransomware en un foro de BleepingComputer.com. El hacker detrás de DearCry le pidió a la víctima que pagara $ 16,000 en bitcoins para recibir una clave para liberar los datos encriptados.
“Afortunadamente, esto era solo un servidor de correo electrónico, y tengo una copia de seguridad, pero puedo encaminarlo solo por el gusto de hacerlo”, escribió la víctima.
Andrew Thompson, gerente de la empresa de seguridad Mandiant, señala que los ataques DearCry solo pueden cifrar el servidor Exchange en sí, no el resto de la red corporativa de una empresa.
“No he visto menciones de un adversario que utilice las vulnerabilidades de Exchange Server para realizar una intrusión más profunda con el propósito de implementar ransomware ampliamente en el entorno, AÚN. Ese matiz importa al informar ”, dijo en un tuit .
De hecho, los investigadores de seguridad advierten que es posible que solo sea cuestión de tiempo antes de que más piratas informáticos de ransomware decidan explotar las vulnerabilidades.
Como actúa Ransomware DearCry
Las fallas en Microsoft Exchange pueden permitir que un atacante se apodere de un servidor de forma remota y saquee los correos electrónicos que contiene.
Eso es particularmente problemático si los correos electrónicos contienen contraseñas para otros sistemas de TI o contienen información confidencial que un pirata informático podría amenazar con filtrar.
La empresa de seguridad ESET detectó al menos 10 grupos de piratas informáticos que explotaban las fallas para infiltrarse en miles de servidores en todo el mundo. Tanto Microsoft como el gobierno de EE. UU. Están instando a los clientes afectados a instalar parches lo antes posible y verificar los servidores en busca de signos de malware.
