DearCry : un ransomware spécial serveurs Exchange ?

DearCry ransomware Exchange

Les serveurs Exchange apparaissent comme une cible de choix pour le ransomware DearCry, qui a commencé à se manifester cette semaine.

Attraper un ransomware ? Sur les serveurs Exchange exposés à la faille ProxyLogon, le risque n’est plus seulement théorique. Et il a un nom : DearCry.

Le 9 mars, des échantillons avaient commencé à remonter vers les principales plates-formes d’analyse des menaces. À un volume relativement faible, mais en provenance d’au moins trois continents.

Depuis lors, Microsoft a confirmé avoir détecté – et bloqué – DearCry. Pour lui, il ne s’agit pas simplement d’un ransomware, mais de toute une famille. Trois souches (1, 2, 3) semblent en l’occurrence se détacher.

DearCry donne, notamment au niveau de son mécanisme de chiffrement, l'impression d'avoir été codé à la va-vite. Le nom qu'on lui a donné fait référence à la chaîne de caractères « DEARCRY! » ajoutée au début de chacun des fichiers qu'il chiffre. L'extension qu'il utilise (.CRYPT) est un classique dans cet univers. La note de rançon aussi, même si elle contient un hash différent pour chaque victime. Certains l'ont trouvée en plusieurs exemplaires : Bureau, dossiers Images et Téléchargements... L'un des utilisateurs qui témoignent dans ce sens précise qu'on lui a demandé 1/3 de bitcoin (soit environ 16 000 €).

note rançon

DearCry : l'effet PoC ?

D'après ESET, au moins une dizaine de groupes cybercriminels ont exploité tout ou partie des failles qui touchent les serveurs Exchange. Au moins quatre paraissent en avoir eu connaissance avant leur révélation.

Voilà dix jours que les correctifs sont disponibles. Mais les serveurs vulnérables se compteraient encore par dizaines de milliers. Or, l'exploitation de ProxyLogon y est désormais facilitée par l'existence de démonstrations techniques et de PoC. Microsoft a décidé, au nom de la sécurité, de supprimer l'un d'entre eux, hébergé sur sa plate-forme GitHub. L'initiative n'a pas été du goût de tous.

Le PoC n'a pas disparu de la circulation. Il reste accessible sur des plates-formes concurrentes. Il n'est pas pleinement fonctionnel, mais quelques adaptations suffisent à en faire un outil d'exécution de code à distance.

Illustration principale © vege - Fotolia