Fortinet - Neue DearCry Ransomware zielt auf Microsoft Exchange-Schwachstellen ab

Die FortiGuard Labs der IT-Sicherheitsherstellers Fortinet verfolgen derzeit mehrere Berichte über eine neue Ransomware-Kampagne bekannt als DearCry. Diese Malware-Kampagne zielt auf dieselben vier Microsoft Exchange Server-Schwachstellen ab, die in den letzten Wochen von einer Reihe von Bedrohungsakteuren ausgenutzt wurden, darunter auch von Hafnium.

Die vier Schwachstellen, auf die DoejoCrypt/DearCry abzielt, sind CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065. Der Angriff zielt auf einen Microsoft Exchange-Server, welcher eine nicht vertrauenswürdige Verbindung von einer externen Quelle empfangen kann. Einmal installiert, erstellt die DearCry Ransomware verschlüsselte Kopien der angegriffenen Dateien und löscht die Originale.

Während ihrer Verschlüsselungsroutine verwendet die DearCry Ransomware eine AES-256-Verschlüsselung, um die angegriffenen Dateien zu verschlüsseln, und verwendet im Anschluss einen RSA-2048-Schlüssel, um den AES-Schlüssel ebenfalls zu verschlüsseln. Erschwerend kommt hinzu, dass das Public-Key-Kryptosystem seinen öffentlichen Verschlüsselungsschlüssel in die Ransomware-Binärdatei eingebettet hat, was bedeutet, dass DearCry nicht den Command & Control Server des Angreifers kontaktieren muss, um Dateien verschlüsseln zu können. So können auch Exchange-Server verschlüsselt werden, welche nur den Internetzugriff auf die Exchange-Dienste zulassen.

Die Ransomware zielt auf Dateien mit den folgenden Dateierweiterungen für die Verschlüsselung ab: .7Z, .APK, .APP, .ASPX, .AVI, .BAK, .BAT, .BIN, .BMP, .C, . CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DLL, .DOC, .DOCX, .DWG, .EDB, .EDB, .EML, .EXE, .GO, .GPG, .H, . HTM, .HTML, .INI, .ISO, .JPG, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MFS, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD, .PHP, .PL, .PNG, .PPS, . PPT, .PPTX, .PS, .PST, .PY, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .XML, .ZIP, .ZIPX

Sobald die gewünschten Dateitypen gefunden wurden, werden die Dateien verschlüsselt und mit der Dateierweiterung .CRYPT versehen. Während der Verschlüsselung wird außerdem die Zeichenfolge DEARCRY! an den Anfang des Datei-Headers angehängt.

Was sind die Fortinet-Schutzmaßnahmen für die DearCry-Ransomware?

FortiGate Antivirus Kunden, die aktuelle FortiGate AV-Definitionen verwenden, sind vor DoejoCrypt/DearCry-Ransomware-Varianten wie folgt geschützt:

W32/Filecoder.OGE!tr
PossibleThreat.ARN.H
W32/Encoder.OGE!tr.ransom
W32/Encoder!tr

FortiGate IPS

Die folgenden IPS-Signaturen, die am 3. und 4. März 2021 veröffentlicht wurden, stoppen Ransomware wie DearCry, die die vier oben aufgeführten Microsoft Exchange Server-Schwachstellen ausnutzen. Alle Fortinet Kunden mit einem aktiven Abonnement und aktuellem Update sind derzeit geschützt.

MS.Exchange.Server.ProxyRequestHandler.Remote.Code.Execution
MS.Exchange.Server.UM.Core.Remote.Code.Execution
MS.Exchange.Server.CVE-2021-27065.Entfernte.Code.Ausführung
MS.Exchange.Server.CVE-2021-26858.Entfernte.Code.Ausführung

FortiEDR/FortiXDR

Tests von FortiGuard Labs zeigen, dass die Standardinstallationen von FortiEDR und FortiXDR die DoejoCrypt/DearCry-Ransomware-Aktivitäten sofort erkennen und blockieren.

Des Weiteren hat Microsoft zwei neue Tools zur Erkennung dieser Angriffe entwickelt. Das erste, Test-ProxyLogon.ps1, wurde entwickelt, um nach bekannten Indicators of Compromise zu suchen. Das zweite, ExchangeMitigations.ps1, sucht nach Web-Shells, d. h. nach Skripten, die Bedrohungsakteuren Fernzugriff und in einigen Fällen die vollständige Kontrolle über einen kompromittierten Server gewähren. Dieses Skript automatisiert alle vier Befehle, die im Microsoft Hafnium-Blogbeitrag beschrieben worden.