Attraper un ransomware ? Sur les serveurs Exchange exposés à la faille ProxyLogon, le risque n’est plus seulement théorique. Et il a un nom : DearCry.
Le 9 mars, des échantillons avaient commencé à remonter vers les principales plates-formes d’analyse des menaces. À un volume relativement faible, mais en provenance d’au moins trois continents.
Depuis lors, Microsoft a confirmé avoir détecté – et bloqué – DearCry. Pour lui, il ne s’agit pas simplement d’un ransomware, mais de toute une famille. Trois souches (1, 2, 3) semblent en l’occurrence se détacher.
DearCry donne, notamment au niveau de son mécanisme de chiffrement, l’impression d’avoir été codé à la va-vite. Le nom qu’on lui a donné fait référence à la chaîne de caractères « DEARCRY! » ajoutée au début de chacun des fichiers qu’il chiffre. L’extension qu’il utilise (.CRYPT) est un classique dans cet univers. La note de rançon aussi, même si elle contient un hash différent pour chaque victime. Certains l’ont trouvée en plusieurs exemplaires : Bureau, dossiers Images et Téléchargements… L’un des utilisateurs qui témoignent dans ce sens précise qu’on lui a demandé 1/3 de bitcoin (soit environ 16 000 €).
D’après ESET, au moins une dizaine de groupes cybercriminels ont exploité tout ou partie des failles qui touchent les serveurs Exchange. Au moins quatre paraissent en avoir eu connaissance avant leur révélation.
Voilà dix jours que les correctifs sont disponibles. Mais les serveurs vulnérables se compteraient encore par dizaines de milliers. Or, l’exploitation de ProxyLogon y est désormais facilitée par l’existence de démonstrations techniques et de PoC. Microsoft a décidé, au nom de la sécurité, de supprimer l’un d’entre eux, hébergé sur sa plate-forme GitHub. L’initiative n’a pas été du goût de tous.
Le PoC n’a pas disparu de la circulation. Il reste accessible sur des plates-formes concurrentes. Il n’est pas pleinement fonctionnel, mais quelques adaptations suffisent à en faire un outil d’exécution de code à distance.
Illustration principale © vege – Fotolia
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.
