Redactie - 16 maart 2021

Sophos: DearCry-ransomware is Copy-ransomware

Sophos: DearCry-ransomware is Copy-ransomware image

Cybercriminelen proberen te profiteren van de Exchange / ProxyLogon-problemen. Een voorbeeld is DearCry, nieuwe ransomware die door Sophos ook wel 'Copy'-ransomware wordt genoemd.

Mark Loman, Director of Engeneering bij Sophos: “Vanuit encryptie-oogpunt is DearCry wat Sophos ransomware-experts een ‘Copy’- ransomware noemen. Het maakt versleutelde kopieën van de aangevallen bestanden en verwijdert de originele. Dit zorgt ervoor dat de versleutelde bestanden worden opgeslagen in verschillende sectoren, waardoor slachtoffers mogelijk enkele gegevens kunnen herstellen - afhankelijk van wanneer Windows de vrijgekomen sectoren opnieuw gebruikt. Meer beruchte, door mensen afgehandelde ransomware – denk aan Ryuk, REvil, BitPaymer, Maze en Clop – is ‘In-Place’-ransomware. Hierbij zorgt de aanval ervoor dat het gecodeerde bestand logischerwijs wordt opgeslagen op dezelfde sectoren, waardoor herstel via onverwijderingstools onmogelijk is."

"De versleuteling van DearCry is gebaseerd op een zogeheten ‘public key’-cryptosysteem. De openbare sleutel is ingebed in het binaire bestand van de ransomware. Dit betekent dat hij geen contact hoeft te maken met de command and control-server van de aanvaller om bestanden te versleutelen. Exchange-servers die zijn ingesteld om alleen internettoegang voor de Exchange-services toe te staan, worden nog steeds gecodeerd. Zonder de privé-sleutel (die in het bezit is van de aanvaller) is ontsleuteling onmogelijk", aldus Loman.

Ook WannaCry was Copy-ransomware

“Interessant genoeg was WannaCry ook een Copy-ransomware. DearCry deelt niet alleen een vergelijkbare naam, maar heeft ook een griezelig lijkende bestands-header. Wil men zich verdedigen, dienen urgent stappen ondernomen te worden om de patches van Microsoft te installeren, om misbruik van hun Microsoft Exchange-servers te voorkomen. Als dit niet mogelijk is, moet de server worden losgekoppeld van internet of nauwlettend worden gecontroleerd door een threat response-team."

"Let op: Sophos Intercept X en Sophos Intercept X met EDR beschermen tegen en detecteren de Dearcry-ransomware. Dat aanvallers gebruik zouden gaan maken van het Exchange/ProxyLogon probleem was te verwachten, en dit zou de eerste van de rij kunnen zijn.” 

Meer informatie over DearCry is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW