LockFile Ransomware sa zameriava na servery Microsoft Exchange

Nová skupina ransomware s názvom LockFile sa začala zameriavať na servery Microsoft Exchange prostredníctvom ProxyShell a PetitPotam.

Výskumníci v oblasti bezpečnosti objavili novú rodinu ransomware s názvom LockFile, ktorá sa pravdepodobne používa na útoky na servery Microsoft Exchange v USA a v Ázii najmenej od 20. júla.

Spoločnosť Symantec uvádza, že keď odhalila LockFile 20. augusta, našla dôkaz o tom, že sa ransomware v priebehu jedného mesiaca zameral najmenej na 10 organizácií. Podľa bezpečnostnej spoločnosti operátori LockFile použili útok s názvom PetitPotam, ktorý sa zameriava na radič domény, aby získal kontrolu nad celou sieťou, ale spoločnosť nevedela, ako útočníci získali prístup k serverom.

Kevin Beaumont z DoublePulsar informoval, že na jeho osobný projekt honeypot – zámerne odhalený server, ktorý je možné použiť na získanie ďalších informácií o pokusoch o hacknutie – sa operátori LockFile zamerali 13. a 16. augusta. Tieto útoky odhalili, že LockFile využíva sériu zraniteľností v spoločnosti Microsoft. Burza známa spoločne ako ProxyShell.

ProxyShell je jednou z troch kolekcií zraniteľností ovplyvňujúcich program Microsoft Exchange, ktoré zistil, zneužil a odhalil hlavný výskumník zabezpečenia spoločnosti Devcore Orange Tsai. Útočné povrchy sa predviedli na hackerskej súťaži Pwn2Own v apríli a Tsai o nich zdieľal ďalšie informácie počas prednášky na konferencii Black Hat 2021, 5. augusta.

Spoločnosť Microsoft tieto zraniteľnosti opravila v máji, ale spoločnosť BleepingComputer uvádza, že výskumníkom a hackerom sa podarilo znova zneužiť zneužitie, ktoré sa teraz používa na povolenie útokov LockFile. Prevádzkovatelia ransomwaru môžu tiež zacieliť na servery Exchange, ktoré nedostali najnovšie aktualizácie, a preto zostávajú zraniteľné voči pôvodným útokom ProxyShell.

Beaumont hovorí, že v USA k 21. augustu stále existujú „stovky priamo zneužiteľných systémov s prístupom na internet s názvami hostiteľov certifikátov SSL *.gov“ a citoval správu TechTarget, že „desaťtisíce serverov Exchange sú stále zraniteľné voči serverom ProxyLogon a ProxyShell.”

Americká agentúra pre bezpečnosť kybernetickej bezpečnosti a infraštruktúry tvrdí, že „dôrazne vyzýva organizácie, aby vo svojich sieťach identifikovali zraniteľné systémy a od mája 2021 okamžite použili aktualizáciu zabezpečenia spoločnosti Microsoft, ktorá napravuje všetky tri zraniteľnosti ProxyShell – na ochranu pred týmito útokmi“. Microsoft tiež zdieľal metódy na zmiernenie útoku PetitPotam.

Samotný LockFile údajne zašifruje všetky súbory v cieľovom systéme, premenuje ich na príponu „.lockfile“ a potom zobrazí oznam, v ktorom bude obetiam oznámené, aby kontaktovali operátorov ransomwaru emailom a dohodli sa na nákladoch na obnovu svojich súborov. Táto poznámka sa údajne podobá poznámke používanej skupinou ransomware LockBit a obsahuje aj odkaz na gang Conti.