Pour gérer vos consentements :
Categories: RansomwareSécurité

DearCry : un ransomware spécial serveurs Exchange ?

Attraper un ransomware ? Sur les serveurs Exchange exposés à la faille ProxyLogon, le risque n’est plus seulement théorique. Et il a un nom : DearCry.

Le 9 mars, des échantillons avaient commencé à remonter vers les principales plates-formes d’analyse des menaces. À un volume relativement faible, mais en provenance d’au moins trois continents.

Depuis lors, Microsoft a confirmé avoir détecté – et bloqué – DearCry. Pour lui, il ne s’agit pas simplement d’un ransomware, mais de toute une famille. Trois souches (1, 2, 3) semblent en l’occurrence se détacher.

DearCry donne, notamment au niveau de son mécanisme de chiffrement, l’impression d’avoir été codé à la va-vite. Le nom qu’on lui a donné fait référence à la chaîne de caractères « DEARCRY! » ajoutée au début de chacun des fichiers qu’il chiffre. L’extension qu’il utilise (.CRYPT) est un classique dans cet univers. La note de rançon aussi, même si elle contient un hash différent pour chaque victime. Certains l’ont trouvée en plusieurs exemplaires : Bureau, dossiers Images et Téléchargements… L’un des utilisateurs qui témoignent dans ce sens précise qu’on lui a demandé 1/3 de bitcoin (soit environ 16 000 €).

DearCry : l’effet PoC ?

D’après ESET, au moins une dizaine de groupes cybercriminels ont exploité tout ou partie des failles qui touchent les serveurs Exchange. Au moins quatre paraissent en avoir eu connaissance avant leur révélation.

Voilà dix jours que les correctifs sont disponibles. Mais les serveurs vulnérables se compteraient encore par dizaines de milliers. Or, l’exploitation de ProxyLogon y est désormais facilitée par l’existence de démonstrations techniques et de PoC. Microsoft a décidé, au nom de la sécurité, de supprimer l’un d’entre eux, hébergé sur sa plate-forme GitHub. L’initiative n’a pas été du goût de tous.

Le PoC n’a pas disparu de la circulation. Il reste accessible sur des plates-formes concurrentes. Il n’est pas pleinement fonctionnel, mais quelques adaptations suffisent à en faire un outil d’exécution de code à distance.

Illustration principale © vege – Fotolia

Recent Posts

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

2 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

18 heures ago

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

19 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

1 jour ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

2 jours ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

2 jours ago