DearCry, una variante del ransomware, è progettata per sfruttare quattro vulnerabilità recentemente rivelate in Microsoft Exchange. Una volta ottenuto l'accesso a un computer, crittografa i file ivi memorizzati, rendendoli impossibili da accedere senza la chiave di decrittazione corrispondente (nota solo agli aggressori).
Nel marzo 2021, Microsoft ha rilasciato patch per quattro vulnerabilità critiche all'interno dei server Microsoft Exchange. Queste vulnerabilità sono state sfruttate attivamente in una serie di campagne di attacco. DearCry è una variante del ransomware progettata per sfruttare questi vulnerabili server Microsoft Exchange.
Il malware esegue l'enumerazione delle unità per identificare tutti i supporti di archiviazione accessibili da una macchina infetta. Per ciascuna di queste unità, il ransomware DearCry crittograferà determinati tipi di file (in base alle estensioni dei file) utilizzando AES e RSA-2048. Una volta completata la crittografia, DearCry visualizzerà una richiesta di riscatto che chiede agli utenti di inviare un'e-mail agli operatori del ransomware per sapere come decrittografare le loro macchine.
Quando viene visualizzata la richiesta di riscatto di DearCry, il danno è già stato fatto. Il modo migliore per rispondere a DearCry, o a qualsiasi tipo di ransomware, è rilevare e bloccare il ransomware prima che possa iniziare la crittografia dei dati.
L’implementazione di protezioni anti-ransomware è il metodo più efficace per raggiungere questo obiettivo. Strumenti come Threat Emulation di Check Point utilizzano l'analisi comportamentale per identificare i segnali di allarme di un attacco ransomware, consentendo all'utente di porre rimedio alla minaccia prima che si verifichi qualsiasi danno. Poiché tutti i ransomware devono eseguire determinate azioni (come la crittografia dei file) per raggiungere i propri obiettivi, questo approccio è efficace contro tutti i tipi di ransomware.
Tuttavia, le protezioni mirate verso un tipo specifico di ransomware possono aiutare a migliorare la velocità e l'efficacia della risposta di un'organizzazione. Oltre alla protezione generica Threat Emulation per ransomware (che blocca con successo DearCry), Check Point ha rilasciato due protezioni dedicate per i seguenti prodotti:
Questi strumenti di rilevamento dedicati rendono più facile e veloce rilevare ed eliminare una potenziale infezione da DearCry sui sistemi di un'organizzazione.
Per proteggersi dal ransomware DearCry, le protezioni mirate (come quelle implementate in Threat Emulation e Harmony Endpoint) sono le soluzioni più efficaci per un attacco attivo. Anche protezioni ransomware più generali possono rilevare questa minaccia e sono fondamentali per identificare e bloccare gli attacchi ransomware zero-day.
Tuttavia, le organizzazioni dovrebbero implementare una difesa approfondita per ridurre al minimo i potenziali costi e l’impatto degli attacchi ransomware. Alcune best practice per la prevenzione del ransomware includono:
Il panorama delle minacce ransomware è in continua evoluzione. DearCry è una delle iterazioni più recenti di una minaccia che esiste da anni e sfrutta le vulnerabilità scoperte di recente in un prodotto ampiamente utilizzato. Le organizzazioni necessitano di soluzioni anti-ransomware mirate in grado di tenere il passo e mitigare le più recenti minacce ransomware.
Il ransomware attacca l’endpoint, pertanto l’endpoint dovrebbe essere il fulcro di qualsiasi strategia anti-ransomware . Harmony Endpoint di Check Point è una soluzione Endpoint Security completa che offre una protezione completa contro il ransomware, incluso il rilevamento generale basato sul comportamento e le protezioni mirate a varianti specifiche.
Il suo supporto per la ricerca delle minacce, mappato sul framework MITRE ATT&CK, consente inoltre al team di sicurezza di un'organizzazione di cercare e indagare in modo proattivo su potenziali minacce e incursioni all'interno della sua rete. Per ulteriori informazioni sulla caccia alle minacce con Harmony Endpoint, consulta questa procedura dettagliata.
Harmony Endpoint fornisce una protezione completa contro minacce come il ransomware DearCry. Per saperne di più sulle sue capacità, dai un'occhiata a questo tour del prodotto. Puoi anche richiedere una demo personalizzata per toccare con mano la potenza di Harmony Endpoint.