DearCry, una variante de ransomware, está diseñada para aprovecharse de cuatro vulnerabilidades recientemente reveladas en Microsoft Exchange. Una vez que obtiene acceso a una computadora, encripta los archivos almacenados allí, lo que hace imposible acceder a ellos sin la clave de descifrado correspondiente (que solo conocen los atacantes).
En marzo de 2021, Microsoft publicó parches para cuatro vulnerabilidades críticas en los servidores Microsoft Exchange. Estas vulnerabilidades fueron explotadas activamente en diversas campañas de ataque. DearCry es una variante de ransomware diseñada para explotar estos servidores vulnerables de Microsoft Exchange.
El malware realiza una enumeración de unidades para identificar todos los medios de almacenamiento accesibles desde una máquina infectada. Para cada una de estas unidades, el ransomware DearCry cifrará determinados tipos de archivos (basándose en las extensiones de los archivos) utilizando AES y RSA-2048. Una vez cifrado, DearCry mostrará una nota de rescate indicando a los usuarios que envíen un correo electrónico a los operadores del ransomware para saber cómo descifrar sus máquinas.
Cuando se muestra la nota de rescate de DearCry, el daño ya está hecho. La mejor forma de responder a DearCry -o a cualquier tipo de ransomware- es detectar y bloquear el ransomware antes de que pueda comenzar el cifrado de los datos.
El despliegue de protecciones antiransomware es el método más eficaz para lograrlo. Herramientas como la emulación de amenazas de Check Point utilizan análisis de comportamiento para identificar las señales de advertencia de un ataque de ransomware, lo que permite al usuario remediar la amenaza antes de que se produzca ningún daño. Dado que todo ransomware necesita realizar ciertas acciones (como cifrar archivos) para lograr sus objetivos, este enfoque es eficaz contra todos los tipos de ransomware.
Sin embargo, las protecciones dirigidas a un tipo específico de ransomware pueden ayudar a mejorar la velocidad y la eficacia de la respuesta de una organización. Además de la protección genérica Threat Emulation para ransomware (que bloquea con éxito DearCry), Check Point ha lanzado dos protecciones dedicadas para los siguientes productos:
Estas herramientas de detección dedicadas hacen que sea más rápido y fácil detectar y erradicar una posible infección de DearCry en los sistemas de una organización.
Para protegerse contra el ransomware DearCry, las protecciones selectivas (como las desplegadas en Emulación de amenazas y Harmony Endpoint) son las soluciones más eficaces para un ataque activo. Las protecciones más generales contra el ransomware también pueden detectar esta amenaza y son vitales para identificar y bloquear los ataques de ransomware de día cero.
Sin embargo, las organizaciones deben implementar una defensa en profundidad para minimizar el coste potencial y el impacto de los ataques de ransomware. Algunas de las mejores prácticas para la prevención del ransomware incluyen:
El panorama de las amenazas del ransomware está en constante evolución. DearCry es una de las iteraciones más recientes de una amenaza que existe desde hace años, y explota una vulnerabilidad descubierta recientemente en un producto muy utilizado. Las organizaciones necesitan soluciones específicas contraransomware capaces de mantenerse al día y mitigar las últimas amenazas de ransomware.
El ransomware ataca al terminal, por lo que éste debe ser el centro de cualquier estrategia antiransomware. Harmony Endpoint de Check Point es una solución completa de seguridad de terminales que ofrece protección integral contra el ransomware, incluyendo tanto detección general basada en el comportamiento como protecciones dirigidas a variantes específicas.
Su soporte para la caza de amenazas -mapeado según el marco MITRE ATT&CK- también permite al equipo de seguridad de una organización buscar e investigar de forma proactiva posibles amenazas e incursiones dentro de su red. Para obtener más información sobre la caza de amenazas con Harmony Endpoint, consulte este tutorial.
Harmony Endpoint proporciona una protección completa contra amenazas como el ransomware DearCry. Para obtener más información sobre sus capacidades, consulte este recorrido por el producto. También puede solicitar una demostración personalizada para comprobar por sí mismo la potencia de Harmony Endpoint.