Las vulnerabilidades de Microsoft Exchange allanan una ruta de Ransomware

A medida que los ataques se duplican cada hora, los piratas informáticos están explotando servidores Microsoft Exchange vulnerables e instalando una nueva familia de ransomware llamada DearCry.

Los ciberdelincuentes están utilizando servidores Microsoft Exchange comprometidos como punto de apoyo para implementar una nueva familia de ransomware llamada DearCry, advirtió Microsoft.

El ransomware es la última amenaza para los servidores Exchange más vulnerables, que surgió poco después de que Microsoft emitiera parches de emergencia a principios de marzo para cuatro fallas de Microsoft Exchange. Las fallas  se pueden encadenar para crear un exploit de ejecución remota de código (RCE) de autenticación previa, lo que significa que los atacantes pueden apoderarse de los servidores sin conocer ninguna credencial de cuenta válida.

Las fallas brindan a los atacantes la oportunidad de instalar un webshell para una mayor explotación dentro del entorno, y ahora, los investigadores dicen que los atacantes están descargando la nueva cepa de ransomware (también conocida como Ransom: Win32 / DoejoCrypt.A) como parte de su actividad posterior a la explotación en servidores sin parches. 


«Hemos detectado y ahora estamos bloqueando una nueva familia de ransomware que se está utilizando después de un compromiso inicial de los servidores Exchange locales sin parches», dijo Microsoft en Twitter el jueves.

DearCry ransomware

DearCry apareció por primera vez en el radar del espacio de seguridad de la información después de que el experto en ransomware Michael Gillespie dijera el jueves que observó un «enjambre repentino» de envíos a su sitio web de identificación de ransomware, ID-Ransomware.

El ransomware utiliza la extensión «.CRYPT» al cifrar archivos, así como un marcador de archivo «DEARCRY!» en la cadena de cada archivo cifrado.

Microsoft confirmó más tarde que los atacantes estaban lanzando el ransomware utilizando las cuatro vulnerabilidades de Microsoft Exchange, conocidas colectivamente como ProxyLogon, que se están rastreando como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021- 27065.