Злоумышленники стали эксплуатировать уязвимости в Microsoft Exchange, известные как ProxyLogon, для заражения почтовых серверов новым вредоносом DearCry (Win32/DoejoCrypt.A).

Первые зафиксированные атаки DearCry начались 9 марта 2021 года, когда одна из пострадавших организаций загрузила копию записки с требованием выкупа на портал ID Ransomware. Эксперты полагают, что атаки начались еще до публикации в открытом доступе PoC-эксплоита для уязвимостей ProxyLogon, и, соответственно, злоумышленники, управляющие вредоносом DearCry, разработали собственную версию эксплоита.

Атака происходит следующим образом: сначала злоумышленники получают доступ к серверу через уязвимость CVE-2021-26855, затем повышают свои привилегии с целью выполнения кода через CVE-2021-26857, а потом закрепляются на системе с помощью CVE-2021-27065. Зашифровав файлы, вымогатель добавляет к ним расширение ".CRYPT". За расшифровку злоумышленники требуют $50-110 тыс.

По информации исследователя Майкла Гиллеспи, DearCry смог успешно атаковать, как минимум шесть компаний из Австрии, Австралии, Дании, Канаде и США и жертвами DearCry преимущественно стали компании небольшого размера.

В настоящее время никаких уязвимостей, которые помогли бы специалистам создать бесплатный дешифратор для восстановления зашифрованных файлов, в DearCry не обнаружено. Кто стоит за атаками, пока неизвестно.