DearCry, come funziona il ransomware che ha colpito anche l’Italia
L’Italia è tra i Paesi più presi di mira dal gruppo hacker che ha sfruttato le vulnerabilità di Microsoft Exchange Server per spiare e ricattare centinaia di migliaia di aziende. Ecco come difendersi da DearCry.
Pubblicato il 19 marzo 2021 da Valentina Bernocco
Le vulnerabilità di Microsoft Exchange Server hanno causato problemi decine di migliaia di aziende e organizzazioni, anche in Italia, consentendo al gruppo di hacker cinesi Hafnium di penetrare nel database e nelle caselle email delle loro vittime, o per spiare o per ricattarle tramite ransomware. In particolare una delle vulnerabilità, identificata come CVE-2021-26855, è stata sfruttata dagli autori dell’attacco per entrare attraverso la porta 443 negli account di posta elettronica delle organizzazioni bersaglio.
All’inizio di marzo, quando la campagna è stata scoperta, le violazioni informatiche erano già in corso da un paio di mesi. Alcune stime parlano di 125mila server colpiti, altre di 80mila, ma in ogni caso la falla del software di Microsoft, poi risolta da alcune patch, ha riempito le cronache delle ultime settimane e si qualifica come una delle operazioni (note) di cyberspionaggio più gravi degli ultimi anni. La stessa Microsoft ha ammesso di aver subìto violazioni e tra le vittime illustri ci sono anche l’Eba, l’Autorità bancaria europea, e Gruppo Tim (la sua divisione Tim Business), mentre dopo alcune illazioni riguardanti i disservizi della sua rete Wind Tre ha negato di essere stata attacca.
Se non altro, in tutta la vicenda dei bug di Exchange Server una parziale buona notizia è che gli hacker non sono riusciti a violare gli account di posta elettronica di Office 365 ma solo quelli appoggiati su risorse on-premise.
Che cos’è DearCry e come fermarlo
Alle notizie di questi giorni si è aggiunta quella dell’indagine avviata dalla Polizia Postale per verificare l’entità dei danni in Italia. È stata scoperta, inoltre, una nuova variante di ransomware che sfrutta le stesse vulnerabilità di Microsoft Exchange già utilizzate da Hafnium: DearCry, questo il nome, crea copie criptate dei file e cancella gli originali. Come spiegato da Sophos, la crittografia di DearCry è basata su un sistema di crittografia a chiave pubblica, che è incorporata nel binario del ransomware: quest’ultimo, dunque, non ha bisogno di contattare il server di comando e controllo dell’autore dell’attacco per crittografare i file. Di conseguenza i server Exchange impostati per consentire solo l’accesso a Internet per i servizi Exchange saranno comunque criptati.
“Dal punto di vista del comportamento di encryption, DearCry è quello che i nostri esperti di ransomware chiamano un ransomware ‘Copy’”, spiega Mark Loman, director, engineering technology office di Sophos. “Crea copie criptate dei file attaccati e cancella gli originali. Questo fa sì che i file criptati siano memorizzati su diversi settori logici, permettendo alle vittime di recuperare potenzialmente alcuni dati, a seconda di quando Windows riutilizzi i settori logici liberati”.
Tali caratteristiche distinguono DearCry da alcuni popolari ransomware di tipo “In-Place”, come Ryuk, REvil, BitPaymer, Maze e Clop, i quali memorizzano i file crittografati su settori logicamente uguali, rendendo impossibile il recupero tramite strumenti di undelete. Al contrario il famigerato Wannacry è stato un ransomware “Copy”, e l’assonanza del nome DearCry non è dunque un caso.
Per evitare di essere colpiti da DearCry è dunque essenziale installare le patch di Exchange Server rilasciate da Microsoft. Sui server più datati, tuttavia, potrebbe non essere possibile installare questi aggiornamenti di sicurezza (Palo Alto Networks stima che siano circa 80mila i sistemi connessi a Internet che si ritrovano in queste condizioni).
Nel caso in cui non fosse possibile installare le patch, dunque, Sophos suggerisce di disconnettere il server da Internet o di farlo monitorare attentamente da esperti di threat response. Inoltre non bisogna trascurare di eseguire una scansione delle macchine in uso, così da escludere l’eventuale presenza di infezioni passate inosservate. Infine, per scongiurare futuri incidenti di data loss, un’altra buona idea per le aziende potrebbe essere quella di creare dei backup offline dei propri sistemi.
I consigli di Sophos ricalcano in parte quelli di altre società di cybersicurezza. “Il suggerimento per questo particolare attacco”, spiega Jonathan Tanner, senior security researcher di Barracuda, “è di installare le patch appena possibile ed effettuare una scansione per cercare indicatori della vulnerabilità che è stata sfruttata. Il passo successivo consiste in un approccio di reazione più dettagliato all’incidente”,“Per chi avesse scoperto di essere stato vittima di questo attacco, una buona preparazione ad affrontare le compromissioni è indispensabile per far fronte con successo all’intrusione. Chi dispone di una soluzione per l'individuazione delle violazioni e piani di reazione ha già compiuto parte del lavoro di protezione della rete”.
CRITTOGRAFIA
- Ransomware, in Italia quattro persone su dieci pagano il riscatto
- DearCry, come funziona il ransomware che ha colpito anche l’Italia
- Check Point vuole proteggere applicazioni cloud-native e Api
- Il furto d'identità rischia di diventare una piaga strutturale
- Il ransomware Fonix ha colpito? Un decryptor ci fa recuperare i dati
