DearCry, o mais recente ransomware que ataca servidores Microsoft Exchange.

Publicado a 3/31/2021 por Knowledge Inside em Review
image

O ransomware continua a ser uma preocupação premente no mundo do IT e das Organizações, com o pico em 2017 e os ataques com base no WannaCry, e com a constante evolução e sofisticação deste tipo de ameaça digital.

No início de março, o mundo do IT “acordou” de forma violenta, com as notícias da descoberta de novas vulnerabilidades no software Microsoft (falhas zero-day) num dos produtos mais populares e de grande disseminação, o Microsoft Exchange Server, na sua vertente on-premises.

As vulnerabilidades identificadas com o nível de severidade “crítico”, denominadas de “ProxyLogon”, atingiam as versões on-premises do Exchange server 2013,2016 e 2019, sendo que o Exchange Online não seria afetado pelas mesmas. Exploradas em conjunto, estas vulnerabilidades permitem ao agente malicioso a execução de código remoto, fazer a máquina “refém”, implantar malware ou outros backdoors e eventual acesso e/ou roubo de dados. Sem necessidade de acesso a credenciais de sistema e explorando as falhas, o atacante conseguiria penetrar no sistema e depositar código para mais tarde executar, remotamente.

Com a informação tornada pública pela Microsoft, assistimos a uma corrida das Organizações e os respetivos departamentos de IT, para a instalação das últimas atualizações para o Exchange Server ou nos casos em que não fosse possível a atualização, a implementação de um conjunto de medidas de mitigação para salvaguardar os sistemas. Numa base diária, a Microsoft lançou várias atualizações ao incidente no seu Centro de Resposta, disponibilizando várias ferramentas que permitiriam aos administradores de sistema, identificar o comprometimento dos servidores de Exchange, aplicar as medidas de mitigação e a imperativa aplicação das atualizações de segurança.

Mais informação pode ser consultada em: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

ransomware attack

A tempestade terá passado? Sabe-se agora, que estas falhas no Exchange Server terão sido identificadas no início de janeiro de 2021 e reportadas à Microsoft. Desde então, vários atores maliciosos poderão ter explorado essas mesmas falhas, e a aplicação das atualizações de segurança, não asseguram que os sistemas não possam ter sido comprometidos. Várias empresas de Cyber Segurança, alertam para o registo de evidências de um novo ransomware denominado DearCry, in-the-wild e que explora os sistemas que possam ainda estar vulneráveis.

Em comparação com o WannaCry, e apesar de demonstrar algumas semelhanças, o DearCry sugere ser uma ameaça menos sofisticada e que pouco faz para se “esconder”. Laboratórios especializados, como é exemplo a SophosLabs, sugerem que podemos estar perante um protótipo ou numa fase inicial da evolução do malware (para tirar vantagem do timing e chegar rapidamente aos sistemas que ainda não foram atualizados), e que ainda não possui defesas ou outros mecanismos que o permitam furtar aos antivírus. Ao contrário do seu precedente, o DearCry surge muito provavelmente, numa tentativa de aproveitar rapidamente a janela de oportunidade que as falhas no Exchange Server revelaram. Têm sido identificadas novas versões do código do malware a um ritmo muito elevado, para alvos díspares e possivelmente, com o objetivo de adicionar novas funcionalidades ou correção de bugs ao código original.

O DearCry usa uma abordagem híbrida menos usual e mais primitiva. O malware em primeira instância, cria uma cópia encriptada do ficheiro alvo e depois tenta reescrever o ficheiro original com a cópia criada anteriormente. Ao contrário do WannaCry que se disseminava automaticamente, o DearCry surge de um ataque mais orientado e com “mão” humana, onde o atacante está do outro lado, a explorar as vulnerabilidades do sistema para tomar controlo do servidor e eventualmente da rede da Organização alvo. Apesar destes exemplos de ransomware apresentarem algumas semelhanças, não é conhecida uma relação direta entre ambos, para além do facto de tomarem partido e explorarem falhas especificas no software Microsoft. O sucesso neste tipo de ataques leva na maioria das vezes à perda de dados críticos da Organização e o backup revela-se como o último recurso para a recuperação dos mesmos.

A mensagem que a Microsoft deixa a todos os que possuem servidores de Exchange on-premises e que nós na KI subscrevemos por completo é, apliquem as versões mais recentes do software e as respetivas atualizações de segurança imediatamente, se ainda não o fizeram!

O que nós dizemos

A segurança dos dados das Organizações e por conseguinte dos nossos Clientes, é um dos principais focos da equipa na KI. As descobertas de falhas no software (zero-day ou outras) e os relatos destas ameaças, servem para nos relembrar e alertar da importância de mantermos os nossos sistemas atualizados, com as versões e atualizações de segurança mais recentes. Os vetores de ataque são cada vez mais sofisticados e disruptivos, causando danos muitas vezes irrecuperáveis às Organizações. Mantenha os seus sistemas de informação atualizados e salvaguarde os dados com backups regulares

Comments