کمیته رکن چهارم – برخی منابع خبر دادهاند مهاجمان با هک سرورهای آسیبپذیر MS Exchange اقدام به نفوذ به آنها و در ادامه توزیع باجافزار جدیدی با نام DearCry میکنند.
آسیبپذیریهای بهکار گرفته شده در جریان این حملات، ProxyLogon است که ۱۲ اسفندماه مایکروسافت (Microsoft, Corp) اقدام به عرضه اصلاحیههای اضطراری برای ترمیم آنها کرده بود.
بر طبق گزارشی که سایت Bleeping Computer آن را منتشر کرده DearCry پس از رمزگذاری فایل اقدام به الصاق پسوند CRYPT به آن میکند. در فرایند رمزگذاری DearCry از الگوریتمهای AES-۲۵۶ و RSA-۲۰۴۸ استفاده میشود. همچنین رشته DEARCRY! نیز به ابتدای هر فایل رمز شده افزوده میشود.
نام فایل اطلاعیه باجگیری (Ransom Note) این باجافزار readme.txt گزارش شده است. در فایل مذکور از قربانی خواسته میشود تا درهمساز درج شده در فایل را به مهاجم ارسال کند. به نظر میرسد که کد درج شده درهمساز MD۴ کلید عمومی RSA قربانی است.
گفته میشود مبلغ اخاذی شده از یکی از قربانیان ۱۶ هزار دلار بوده است.
انتظار میرود که بهرهگیری از آسیبپذیریهای ProxyLogon در MS Exchange مورد توجه مهاجمان بیشتری قرار گیرد.
منبع : مرکز مدیریت راهبردی افتا
