Quelques jours après la découverte du piratage des serveurs Microsoft Exchange via l’exploitation de plusieurs zero-day, un premier ransomware du nom de Dearcry se diffuse via l’une des vulnérabilités à travers l’exploit Proxylogon.
« Nous avons détecté et bloquons maintenant une nouvelle famille de ransomwares utilisée après un compromis initial de serveurs Exchange sur site non corrigés. Microsoft protège contre cette menace connue sous le nom de Ransom: Win32 / DoejoCrypt.A, et également sous le nom de DearCry, » a twitté Microsoft Security Intelligence
« L’attaque Zero-day contre les serveurs Microsoft Exchange a clairement touché beaucoup plus d’entreprises que ce qui a été rapporté à ce jour. Il faudra peut-être plusieurs mois, voire des années, pour connaître le bilan réel des dégâts », explique Jérôme Soyer, directeur technique Europe de Varonis, un spécialiste de la gouvernance et cybersécurité des données. C’était l’une des craintes et il n’aura donc pas fallu beaucoup de temps pour que des attaquants opérateurs de ransomware s’engouffrent dans la brèche. Le ransomware Dearcry semble tirer parti de la vulnérabilité ProxyLogon Exchange (on-premise) qui permet à des attaquants externes non authentifiés de se connecter à des serveurs Exchange exposés sur Internet. »
Dearcry, pour quoi faire ?
Selon Jérôme Soyer, les attaques précédemment observées exploitant cette vulnérabilité avaient pour objectif de voler des informations sur la messagerie, de servir de point de départ à l’exploitation d’autres vulnérabilités Exchange puis à une élévation de privilèges, ou de faciliter de nouvelles intrusions dans les réseaux d’entreprise. « L’attaque Dearcry est beaucoup moins sophistiquée et moins directe – il semble s’agir d’une tentative d’attaque de type « smash-and-grab » (envoi à un grand nombre de cibles, sans ciblage précis) visant à soutirer de l’argent aux entreprises qui ont dû mal à réaliser la mise à jour (patching) de leurs serveurs Exchange. »
Selon Palo Alro Networks, il restait au 11 mars un grand nombre de serveurs Exchange vulnérables, dont 4 000 en France.
