A Microsoft március 2-án hozta nyilvánosságra az Exchange levelezőrendszerét érintő biztonsági réseket, amelyeket vállalatoktól való adatlopásra használtak ki támadók. A cég szerint a Hafnium nevű kínai állami hátterű hackercsoport áll a támadások mögött. Ezt követően a biztonsági kutatók elkezdték vizsgálni a használt kártevőket, köztük a DearCry zsarolóvírust- írja a Sophos kiberbiztonsági cég.
„A DearCry zsarolóvírus mintáin végzett elemzéseink során egy ritka titkosításos támadási stratégiára bukkantunk, egy hibrid megközelítésre. Az egyetlen másik vírus, amelyet az évek során vizsgáltam és a hibrid megközelítést használta, a WannaCry volt. A WannaCry azonban automatikusan terjedt, nem úgy, mint az emberek által telepített DearCry” – mondta el a vizsgálat kapcsán Mark Loman, a Sophos zsarolóvírus-szakértője.
A 2017 elején világot végigsöprő WannaCry és a DearCry között számos hasonlóságot fedeztek fel, beleértve a titkosított fájlok neveit és a hozzájuk adott fejlécet. Ezek nem kötik automatikusan a DearCryt a WannaCry készítőjéhez. A DearCry kódja, megközelítése és képességei jelentős mértékben eltérnek a WannaCrytól: nem használ vezérlő szervert, beépített RSA titkosítási kulcsa van, nem jelenít meg időzítővel ellátott felhasználói felületet és – a legfontosabb – nem terjeszti tovább magát a hálózaton található más gépekre.
A szakértők azonban szokatlan jellemzőket is találtak a DearCry esetében, beleértve, hogy a zsarolóvírus készítője minden új áldozat számára külön zsaroló program verziót állíthatott volna össze, de mégsem használta ki ezt a lehetőséget. A célzott fájltípusok listája is fejlődött áldozatról áldozatra. Loman elmondása szerint a kód nem rendelkezik olyan felfedezés elleni módszerekkel, mint amikre egy vírusnál számítani lehet. Ez a tényező, illetve más jelek arra utalnak, hogy a DearCry egy prototípus lehet, amelyet lehetséges, hogy nagyon gyorsan vettek használatba a Microsoft Exchange Server sebezhetőségek kínálta lehetőség kihasználása érdekében vagy hogy kevésbé tapasztalt fejlesztők készítették.
A védekező feleknek sürgős lépéseket kell tenniük a Microsoft javításainak telepítése érdekében, hogy megakadályozzák az Exchange szerverükkel való visszaéléseket. Ha ez nem lehetséges, a szervert le kell csatlakoztatni az internetről és egy fenyegetéseket kezelő csapatnak kell azt felügyelet alatt tartani – hívta fel rá a figyelmet a szakértő.