Si moltiplicano gli attacchi ransomware a Microsoft Exchange

redazione

Mark Loman, director, engineering technology office di Sophos spiega: “Dal punto di vista del comportamento di encryption, DearCry è quello che i nostri esperti di ransomware chiamano un ransomware ‘Copy’. Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati  

I ransomware più noti, come Ryuk, REvil, BitPaymer, Maze e Clop, sono ransomware ‘In-Place’, dove l’attacco fa sì che il file criptato venga memorizzato su settori logicamente uguali, rendendo impossibile il recupero tramite strumenti di undelete. 

È interessante sottolineare che anche WannaCry era un Copy ransomware. DearCry non solo condivide un nome simile, ma ha anche un’intestazione di file simile in modo preoccupante.

Diventa dunque estremamente urgente per i responsabili IT adottare le misure necessarie e installare le patch di Microsoft per prevenire lo sfruttamento delle vulnerabilità di Microsoft Exchange. Se questo non è possibile, il server dovrebbe essere disconnesso da Internet o monitorato da vicino da un threat response team. 

Ci aspettavamo che gli aggressori avrebbero approfittato dei problemi di Exchange/ProxyLogon, dando luogo a molti altri attacchi simili.

Proteggere le reti da attacchi futuri

Come già avvenuto con l’attacco Hafnium, sempre più cybercriminali stanno approfittando dei problemi di Exchange/ProxyLogon per condurre una serie di attacchi.

Chiunque utilizzi server Microsoft Exchange dovrebbe applicare urgentemente una patch e cercare nella propria rete eventuali segni di attacco.

Le patch da sole non significano che si è protetti. È necessario indagare al fine di identificare gli indicatori di attacco e compromissione, in quanto i cybercriminali potrebbero aver già sfruttato queste vulnerabilità.