Actualités

DearCry, DoejoCrypt : une raison de plus de pousser vers la mise à jour de Microsoft Exchange Server !

Alors que Microsoft multiplie les communiqués sécuritaires suite à la divulgation (et au patch ou solution alternatives mais temporaires : il est vivement recommandé d’appliquer le patch !) de ces vulnérabilités sous Exchange, début Mars 2021, les cyber-attaques seraient loin de décroître, surtout après l’annonce de ladite rustine : la cellule sécuritaire de Microsoft (Security Intelligence ou MSI pour les intimes) évoquait le 12 Mars 2021 “une nouvelle famille de ransomwares“…

 

 

Pour rappel ou pour les mémoires-gruyères, 4 vulnérabilités étaient mises en lumière au 2 Mars dernier : l’une d’elle, CVE-2021-26855, amorçait l’intrusion virale sous les serveurs Exchange (qui sont tous impactés ; toute version confondue, donc) en contournant discrètement l’authentification, depuis le port 443. Une autre – CVE-2021-27065 – quant à elle permettait de sonner le glas en exécutant de manière arbitraire le code avec une possibilité d’écriture ou réécriture. C’est là toute la quintessence de l’exploit ProxyLogon qui s’appuie à la fois sur le protocole d’authentification (en le dérivant) et sur le proxy d’Exchange.

Bien que la vulnérabilité globale remonte à Octobre 2020, elle n’aurait été exploitée sous les solutions serveurs de Microsoft que depuis le 2 Mars 2021 voire le 9 Mars 2021, concernant les attaques par ransomware, selon les propos de Michael Gillespie relayés par BleepingComputer. Allemagne, Inde, Irelande, Indonésie, Luxembourg, États-Unis : cela toucherait plusieurs parties du globe. Grâce aux investigations du webzine sécuritaires, plusieurs marqueurs-signatures faisant référence à DearCry (DoejoCrypt) ont déjà pu être ainsi identifiés :

 

  • Ransomware/Win.DoejoCrypt [AhnLab],
  • Win32/Filecoder.DearCry.A [ESET],
  • Win32.Trojan-Ransom.DearCry.B [GDATA],
  • Ransom-DearCry [McAfee],
  • Ransom:Win32/DoejoCrypt.A [Microsoft],
  • Ransom.DearCry [Rising],
  • Ransom/W32.DearCry [TACHYON],
  • Ransom.Win32.DEARCRY [TrendMicro],
  • W32.Ransomware.Dearcry [Webroot].

 

Le ransomware prend son sein au détour d’une mise à jour Microsoft (création d’une instance ou fichier msupdate). Une fois installé, le chiffrement de données s’opère en aspirant les dossiers ou fichiers ayant l’extension suivante : .TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS. Ces extensions sont, alors, remplacées par “.CRYPT” via un chiffrement AES-256 contre RSA-2048 pour le chiffrement-clé.

Une note de rançon (fichier texte) est mise à disposition de la victime. Pour l’heure et selon les observations conjointes de BleepingComputer et Michael Gillespie, par rapport à d’autres ransomwares, de petites sommes sont exigées telles que 16 000 dollars… A veiller !

 

 

Source : Bleeping Computer – 11 Mars 2021 – Ransomware DearCry : Modus operandi + hashes.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0