I server Microsoft Exchange esposti sulla rete Internet corrono un nuovo pericolo: un gruppo di criminali informatici ha sviluppato e “sguinzagliato” un ransomware, chiamato DearCry, in grado di sfruttare le vulnerabilità di recente scoperta per crittografare i dati gestiti da Exchange Server e chiedere un riscatto agli utenti.
Trattandosi di aziende in alcuni casi gli aggressori hanno chiesto ben 16.000 dollari per fornire le chiavi crittografiche utili per ripristinare i dati presi in ostaggio e ripristinare il funzionamento di Exchange Server.
La conferma arriva da Michael Gillespie, ideatore del servizio ID Ransomware, uno strumento che permette di stabilire con quale minaccia si ha a che fare esaminando il contenuto della richiesta di riscatto e la struttura di un file crittografato che non può più essere aperto.
DearCry sfrutta le vulnerabilità di Exchange Server sulle quali si può far leva da remoto per infettare automaticamente le macchine altrui. Non è quindi richiesta alcuna interazione da parte delle vittime che si ritrovano così con ampi volumi di dati completamente inutilizzabili.
I file cifrati dal ransomware espongono l’estensione .CRYPT
e sono resi inaccessibili usando gli algoritmi crittografici AES-256 e RSA-2048. Nell’header di ciascun file il ransomware aggiunge inoltre la stringa DEARCRY!
: File danneggiato, attenzione ai formati.
Per evitare di esporsi a qualunque inutile rischio è fondamentale controllare se e in che modo i propri sistemi Exchange Server siano raggiungibili pubblicamente (l’accesso agli stessi dovrebbe essere limitato tramite firewall o reso possibile solo previa connessione a un server VPN).
In ogni caso il suggerimento è quello di scaricare e installare quanto prima le patch correttive rilasciate da Microsoft: Patch day Microsoft di marzo 2021: quali sono le vulnerabilità più critiche.