Emotet направи своето завръщане - kaldata.com

След WannaCry се появи и DearCry

През май 2017 хиляди компютърни системи по цял свят падат жертва на рансъмуер атака. Виновник за това е криптовирус с името WannaCry, който използва кибероръжие на американските шпиони, експлоатиращо ключов протокол в Windows. Доста време мина оттогава, но на сцената на сигурността, малко неща претърпяха положителна промяна. А с изискването за множество хора да работят от вкъщи, положението в началото на 2021 е доста по-зле. За по-малко от пет месеца разбрахме за два големи инцидента в сектора за киберсигурност: атаката към SolarWinds и клиентите на тяхната програма Orion, а сега дойде и Proxylogon – серията от уязвимости, позволяваща превземането на Windows Exchange инсталации.

Атаките към уязвими сървърни инстанции, използващи Exchange продължава с пълна сила, докато администраторите бързат да налагат обновления за уязвимостите. Да не говорим, че и Microsoft не оказаха помощ особено с оглед на това, че знаят за атаките от началото на януари, а доставят кръпки през март.

Тази седмица специалисти споделиха своите притеснения, че хакерите, експлоатиращи слабостите в Exchange ще започнат да инсталират криптовируси във вече пленените от тях системи. И прогнозата им се сбъдна. А името на заплахата ни качва в машината на времето.

В средата на тази седмица, Филип Миснър от екипа за сигурност към Microsoft алармира за появата на изцяло нова заплаха, която се разпространява от хората, атакуващи Exchange инсталации. Точната дефиниция на вирусната сигнатура, която ѝ дават от компанията е Ransom:Win32/DoejoCrypt.A или както авторите ѝ са я кръстили… DearCry. Друг специалист, Майкъл Гилеспи, създател на сайта за идентифициране на рансъмуер заплахи ID-Ransomware съобщи в социалната мрежи Twitter, че е регистрирал увеличение в подаваните от посетителите на сайта файлове с разширение .CRYPT и DEARCRY, които идват от IP адреси, свързани с Exchange сървъри от Канада, САЩ и Астралия. Първите бележки с искане за откуп и криптирани файлове започнали да идват още на девети този месец, споделя Гилеспи в интервю за Bleeping Coomputer.

А що се отнася до подозрителното съвпадение между докладването на уязвимостите на Microsoft и старта на поредната серия от атаки, то „Уолстрийт джърнъл“ предава, че компанията е започнала разследване защо ограничените по мащаб атаки от януари и февруари, изведнъж се засилват седмица преди излизането на обновленията за тях. Изданието съобщава, че Microsoft разследва дали конкретна страна, с която компанията споделя информация за уязвимостите, не е случайно или нарочно го е споделила с други групи. „Джърнъл“ пишат, че според специалисти някои от инструментите, използвани във втората вълна от атаки са сходни с PoC (proof-of-concept) код, който Microsoft са споделили с антивирусни компании и партньори от защитната индустрия.

Да се надяваме, че DEARCRY няма да има унищожителния ефект на WannaCry – най-малкото втората заплаха се възползваше от уязвима функционалност, активирана по подразбиране в повечето от пленените машини (SMBv1), докато настоящата засяга софтуер, използван в корпоративни и офис среди. Ако има нещо плашещо в случая все пак, то е, че във времето на COVID-19, офисът е в почти всеки дом.



Източник: www.kaldata.com