Le ransomware DearCry a commencé à cibler des serveurs Exchange infectés
Alors que les organisations du monde entier se pressent de patcher leurs serveurs Exchange, la nouvelle redoutée est arrivée: un premier ransomware cible les environnements infectés.
Ce que beaucoup d’experts redoutaient s’est confirmé en fin de semaine dernière: des pirates profitent des environnements infectés via la vulnérabilité d’Exchange pour y glisser des ransomware. Sur le blog de Bleeping Computer, un utilisateur indique qu’il s’est vu réclamer le versement d’un tiers de bitcoin (environ 18’000 francs) pour décrypter ses fichiers. Selon le spécialiste Michael Gillepsie cité sur ce même blog, les premières attaques auraient démarré dès le 9 mars touchant des serveurs en Australie, au Canada et aux Etats-Unis.
«Nous avons détecté et nous bloquons désormais une nouvelle famille de ransomware utilisés après que des serveurs Exchange ont été compromis initialement», a confirmé Microsoft sur Twitter. Dans la foulée, la cellule cybersécurité de la Confédération (NCSC-GovCERT) a également publié un avertissement sur le réseau social. Baptisé DearCry, le rançongiciel est désormais détecté par la plupart des antivirus du marché.
Course contre la montre entre les organisations et les hackers
Avec des codes d’exploitation dans la nature et une première famille de ransomware déjà opérationnels, les organisations se pressent d’appliquer les correctifs. Entre le 8 et le 11 mars, le nombre de serveurs Exchange vulnérables a diminué de 36%, selon une analyse de Palo Alto. A cette dernière date, la société dénombrait 2'500 serveurs vulnérables en Suisse.
De l’autre côté, les hackers s’activent eux aussi. Selon Check Point, le nombre de tentatives d’exploiter la vulnérabilité double toutes les 2-3 heures…
Code d’exploitation supprimé de Github
Microsoft a par ailleurs supprimé un code d’exploitation publié par un chercheur sur la plateforme Github (propriété de Microsoft), précisément en raison des dommages qu’il pourrait causer aux mains de hackers. Cette intervention inédite a fait réagir plusieurs spécialistes, sachant que les codes d’exploitation sont également utiles aux chercheurs en cybersécurité et que Microsoft semble tolérer cette pratique quand les vulnérabilités concernent d’autres sociétés.