I cyber criminali, com’era prevedibile, non hanno perso tempo e, a qualche giorno di distanza dall’annuncio delle quattro vulnerabilità identificate in Microsoft Exchange e rinominate ProxyLogon, hanno iniziato a distribuire il ransomware DearCry sui server di posta elettronica non ancora patchati con gli aggiornamenti di sicurezza out-of-band rilasciati dalla stessa Microsoft.
Indice degli argomenti
La scoperta del ransomware DearCry
Le prime evidenze sulla comparsa delle richieste di riscatto associate al ransomware DearCry si sono avute il 9 marzo, quando il ricercatore di sicurezza Michael Gillespie lo ha annunciato in un tweet.
Gillespie, creatore del sito ID-Ransomware che aiuta le vittime a identificare i ransomware che cifrano i loro dati, ha osservato che sul suo sito era stata inviata una nuova richiesta di riscatto completa dei file crittografati. Dopo aver esaminato il materiale, il ricercatore ha dedotto che la maggior parte delle richieste proveniva dai server Microsoft Exchange.
Sempre il 9 marzo, una vittima ha anche creato un thread nel forum di BleepingComputer in cui affermava che il proprio server Microsoft Exchange era stato compromesso utilizzando le vulnerabilità ProxyLogon, con il ransomware DearCry come payload.
Phillip Misner, responsabile del programma Microsoft Security, venerdì 12 marzo in un tweet ha quindi annunciato che Microsoft stava già osservando la campagna ransomware in atto. Da quel momento la stessa Microsoft con il tweet di Microsoft Security Intelligence ha annunciato ai suoi clienti che l’ultima versione di Microsoft Defender era in grado di proteggere automaticamente dal ransomware DearCry senza dover intraprendere alcuna azione.
Il ransomware DearCry e le similitudini con WannaCry
Secondo i ricercatori della UNIT42 di Paolo Alto Networks “è ragionevole sospettare che gli autori del ransomware stessero rendendo omaggio al famigerato WannaCry, che in passato è stato utilizzato come payload all’interno di una campagna di attacco orchestrata sfruttando vulnerabilità note di Microsoft per infettare le vittime in modo massivo”.
Sempre secondo Palo Alto Networks sono presenti ancora circa 80.000 server meno recenti che non possono applicare direttamente i recenti aggiornamenti di sicurezza di Microsoft.
Ma questione ancora più grave è quella posta da Matt Kraning, Chief Technology Officer, Cortex presso Palo Alto Networks, che suggerisce alle organizzazioni di “presumere di essere state compromesse prima di applicare la patch ai loro sistemi, perché sappiamo che gli aggressori stavano sfruttando queste vulnerabilità zero-day da almeno due mesi prima che Microsoft rilasciasse le patch il 2 marzo. Si consiglia vivamente a tutte le organizzazioni di applicare le patch il prima possibile e di creare backup offline dei propri server Exchange. Non solo per proteggere le tue caselle di posta dal furto, ma ora anche per impedire che vengano crittografate”.
Il comportamento del ransomware DearCry
DearCry è una nuova variante ransomware che sfrutta le stesse vulnerabilità di Microsoft Exchange di cui ha già approfittato di recente l’attacco sferrato da Hafnium: crea copie criptate dei file e cancella gli originali.
Questo ransomware utilizza gli algoritmi AES-256 e RSA-2048 per crittografare i file delle vittime, modificando anche le intestazioni dei file per includere la stringa iniziale DEARCRY!, da cui il suo nome. Tutti i file vengono quindi rinominati aggiungendo l’estensione .CRYPT.
La crittografia di DearCry è basata su un sistema di crittografia a chiave pubblica, che è incorporata nel binario del ransomware, il che significa che non ha bisogno di contattare il server di comando e controllo dell’autore dell’attacco per crittografare i file.
Similmente alle altre varianti di ransomware, anche DearCry visualizza una richiesta di riscatto sul desktop della vittima. Tuttavia, invece di richiedere il pagamento in Bitcoin per sbloccare i file e includere l’indirizzo del wallet di criptovalute, la nota di DearCry include due indirizzi e-mail che la vittima deve contattare oltre ad un codice hash da fornire nell’e-mail (forse per farsi riconoscere n.d.r.).
I fornitori di antivirus stanno rilevando DearCry utilizzando diversi strumenti di detection. Ecco una prima lista non esaustiva:
- Ransomware/Win.DoejoCrypt [AhnLab]
- Win32/Filecoder.DearCry.A [ESET]
- Win32.Trojan-Ransom.DearCry.B [GDATA]
- Ransom-DearCry [McAfee]
- Ransom:Win32/DoejoCrypt.A [Microsoft]
- Ransom.DearCry [Rising]
- Ransom/W32.DearCry [TACHYON]
- Ransom.Win32.DEARCRY [TrendMicro]
- W32.Ransomware.Dearcry [Webroot]
L’analisi tecnica della nuova minaccia
Per capire l’importanza che simili attacchi rivestono non solo per le ovvie conseguenze legate al riscatto, abbiamo interpellato Aaron Visaggio, professore associato presso l’Università del Sannio e responsabile dell’ISWAT LAB, che spiega: “DearCry è un ransomware parente stretto di Hafnium, un altro ransomware di cui sono stati prodotti alert solo pochi giorni fa”.
“Gli aspetti preoccupanti di Hafnium sono due”, secondo il professor Visaggio: “innanzitutto è in odore di essere uno state-sponsored malware cinese e in secondo luogo utilizza le web shell, una backdoor che consente di eseguire codice remoto attraverso una specie di browser, a patto di conoscere l’URL della web shell stessa. Venendo agli aspetti più squisitamente tecnici, a parte la particolarità delle web shell, c’è da considerare che questi ransomware attaccano un gestore di posta elettronica e che i ransomware fanno spionaggio ed esfiltrazione. E, trattandosi di posta elettronica, non è improbabile pensare che oltre al ransomware gli attori possano anche lucrare su vendita di dati sensibili o estorsioni, nei casi più gravi”.
Ancora una volta, quindi, si sottolinea quanto sia sempre più importante patchare rapidamente i sistemi, perché sempre più malware tendono ad utilizzare le stesse vulnerabilità, come nel caso di Hafnium/DearCRy e, in questo caso, il tempo intercorso tra l’uno e l’altro è solo di qualche giorno. Quindi è chiaro, conclude Visaggio, che i “bad-actor” diventano sempre più aggressivi o, forse, stanno solo aumentando di numero.
L’analisi comportamentale del ransomware
Mark Loman, Director, Engineering Technology Office di Sophos, sottolinea invece elementi comportamentali del codice malevolo: “Dal punto di vista del comportamento di encryption, DearCry è quello che i nostri esperti di ransomware chiamano un ransomware ‘Copy’. Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati. I ransomware più noti, come Ryuk, REvil, BitPaymer, Maze e Clop, sono ransomware “In-Place”, dove l’attacco fa sì che il file criptato venga memorizzato su settori logicamente uguali, rendendo impossibile il recupero tramite strumenti di undelete.
“È interessante sottolineare”, continua l’analista, “che anche WannaCry era un Copy ransomware. DearCry non solo condivide un nome simile, ma ha anche un’intestazione di file simile in modo preoccupante. Diventa dunque estremamente urgente per i responsabili IT adottare le misure necessarie e installare le patch di Microsoft per prevenire lo sfruttamento delle vulnerabilità di Microsoft Exchange. Se questo non fosse possibile, il server dovrebbe essere disconnesso da Internet o monitorato da vicino da un threat response team. Ci aspettavamo che gli aggressori avrebbero approfittato dei problemi di Exchange/ProxyLogon, dando luogo a molti altri attacchi simili”.
Modalità di rimozione del ransomware DearCry
Di pari passo alle rapide azioni degli attaccanti per sfruttare le vulnerabilità e creare exploit appositi, anche i difensori si sono affrettati a supportare il ripristino dei file con procedure dettagliate e guidate. Ne sono un esempio quelle fornite da Malware-guide e da Sensors Tech Forum.
Palo Alto Networks ha rilasciato la mappa delle TTPs rispetto ai propri prodotti con le istruzioni per la corretta configurazione. Per approfondimenti delle TTPs e delle configurazioni preventive è disponibile l’avviso di sicurezza pubblicato dalla UNIT42.
Per la sequenza dettagliata delle azioni del ransomware e per la lista completa degli IoC si può consultare l’approfondimento di Lawrence Adams.
I consigli per prevenire un attacco di DearCry
Ai fini della prevenzione, invece, ancora una volta si ricorda a chiunque utilizzi server Microsoft Exchange di applicare urgentemente le patch per aggiornarli e cercare nella propria rete eventuali segni di attacco.
Infatti, le sole patch applicate non garantiscono la protezione retroattiva. È necessario indagare al fine di identificare gli indicatori di attacco e compromissione, in quanto i cyber criminali potrebbero aver già sfruttato queste vulnerabilità ed essere già all’interno dell’ambiente aziendale.
