Microsoft donne l’alerte depuis le 12 mars : le rançongiciel DearCry exploite désormais les vulnérabilités ProxyLogon sur les serveurs Exchange 2013, 2016 et 2019. Benjamin Mercusot, ingénieur avant-vente en cybersécurité chez le fournisseur de logiciels de sécurité Sophos, apporte son éclairage.

 

Channelnews : En tant qu’expert, que pouvez-vous nous dire du rançongiciel DearCry ?

Benjamin Mercusot : Du point de vue du comportement du chiffrement, nos experts qualifient « DearCry » de ransomware de « copie ». Concrètement, il crée des copies chiffrées des fichiers attaqués et supprime les originaux. Les fichiers chiffrés sont alors stockés sur différents secteurs logiques, ce qui permet aux victimes de récupérer certaines données, en fonction du moment où Windows réutilise les secteurs logiques libérés.

Par contraste, les ransomware les plus connus, tels que Ryuk, REvil, BitPaymer, Maze ou Clop, sont des rançongiciels « en place ». Dans ce cas de figure, l’attaque entraîne le stockage du fichier chiffré sur les mêmes secteurs logiques, ce qui rend la récupération impossible via des outils de suppression.

Channelnews : Notre consoeur de ZDnet a fait le rapprochement entre DearCry et la pandémie de WannaCry en 2017. Est-ce pertinent selon vous et en quoi ?

Benjamin Mercusot : WannaCry était également un ransomware de type « Copy ». Au-delà de la similarité entre les noms, DearCry présente aussi un en-tête de fichier étrangement identique.

Channelnews : Que recommandez-vous pour se prémunir ?

Benjamin Mercusot : Les entreprises doivent prendre des mesures urgentes pour installer les correctifs de Microsoft et empêcher l’exploitation de leurs Microsoft Exchange. Si cela n’est pas possible dans l’immédiat, le serveur doit être déconnecté d’Internet ou surveillé de près par une équipe de réponse aux menaces. Nous sommes convaincus que les attaquants vont continuer de profiter des problèmes d’Exchange et ceci pourrait être la première d’une série d’attaques supplémentaires.