שבת , אפריל 17 2021

סופוס – תוקפים כבר מנצלים את פירצת Exchange/ProxyLogon באמצעות תוכנת הכופר DearCry

זה היה רק עניין של זמן עד שתוקפים יתחילו לנצל את פרצת ה-Exchange/ProxyLogon, וההתקפה הראשונה – כך מגלים היום חוקרי סופוס – היא DearCry, תוכנת כופר חדשה שחוקרי סופוס מנתחים את דרך הפעולה שלה.  

סופוס – תוקפים כבר מנצלים את פירצת Exchange/ProxyLogon באמצעות תוכנת הכופר DearCry, AVmaster

מארק לומן, תמונה - יח"צ סופוס

לדברי מארק לומן, מומחה תוכנות כופר בסופוס, "מנקודת מבט של התנהגות ההצפנה, DearCry הוא מה שמומחי סופוס מכנים תוכנת כופר "מעתיקה". היא יוצרת עותקים מוצפנים של הקבצים המותקפים ומוחקת את המקור. הדבר מביא לכך שהקבצים המוצפנים מאוחסנים באזור לוגי נפרד, והוא יכול לאפשר לקורבן לאחזר חלק מהנתונים – תלוי בזמן בו מערכת חלונות עושה שימוש חוזר באזורים הלוגיים שהתפנו. תוכנות כופר תוקפניות יותר, המופעלות על ידי גורם אנושי, כגון Ryuk, , REvil BitPaymer, Maze ו-Clop, משתמשות בהצפנה "בו-במקום". התקפות אלו מותירות את הקבצים המוצפנים באותו אזור לוגי, ובכך אינן מאפשרות אחזור שלהם באמצעות כלים לביטול מחיקה. 

"הצפנת DearCry מבוססת על מערכת הצפנה עם מפתח ציבורי. המפתח הציבורי מוטמע בתוך הקוד הבינארי של תוכנת הכופר, והמשמעות היא שהתוכנה אינה צריכה ליצור קשר עם שרת הפיקוד והשליטה כדי להצפין את הקבצים. שרתי Exchange המוגדרים כדי לאפשר גישה מהאינטרנט רק לשירותי ה- Exchange עדיין יהפכו למוצפנים. ללא מפתח ההצפנה (אשר נמצא בבעלות התוקף) שחרור ההצפנה אינו אפשרי".

"מעניין לראות, כי גם WannaCry היתה תוכנת כופר 'מעתיקה', ו- DearCry לא רק שחולקת עימה שם דומה, אלא גם פתיח קובץ דומה. אנשי IT ואבטחה צריכים לנקוט בצעדים דחופים להתקנת עדכונים של מיקרוסופט, כדי למנוע ניצול של שרתי Microsoft Exchange. אם הדבר לא מתאפשר, יש לנתק את השרת מהאינטרנט או לנטר אותו באופן הדוק באמצעות צוות תגובה לאיומים. פתרונות Sophos Intercept X מזהים ומגנים מפני DearCry. צפינו כי התוקפים ינצלו את פירצת Exchange/ProxyLogon, ואלה הניצנים הראשונים".

 

רוצים שההצטיידות הבאה תהיה

קבלו את הידע החשוב ישירות למייל