LockFile Ransomware

LockFile ser ud til at være en ny trusselsaktør i ransomware -landskabet. Gruppen ser ud til at have været aktiv siden mindst juni 2021 og har ifølge resultaterne nået et aktivitetsniveau for at målrette mod 10 organisationer på en enkelt måned. Hackerne udnytter to forskellige grupper af sårbarheder - Microsoft Exchange -exploits kendt som ProxyShell og Windows PetitPotam -sårbarheder. Den endelige nyttelast, der leveres til de kompromitterede systemer, er en ny stamme af ransomware ved navn LockFile.

Analyse af ældre LockFile -prøver viser, at det ikke er den mest sofistikerede ransomware -trussel derude. Under sine truende aktiviteter kaprer truslen en betydelig del af systemets ressourcer og kan endda forårsage frysninger. Navnet på hver krypteret fil er tilføjet med '.lockfile' som en ny udvidelse.

Tidligere LockFile-infektioner leverede en ikke-mærket løsesum med typiske krav om betaling ved hjælp af Bitcoin-kryptokurrency. Senere ændrede banden løsesedlen for at identificere dem som LockFile. Navnet på filen, der indeholder den løsesumskrævende meddelelse, er '[offer_name] -LOCKFILE-README.hta.' Som kommunikationskanaler efterlader LockFile -banden et TOX -konto -id og e -mailadressen 'contact@contipauper.com'. Det skal bemærkes, at e -mailen hentyder til Conti Ransomware -banden, mens farveskemaet og layoutet på løsepenge -noten ligner dem, der bruges af LockBit. Indtil videre er der ikke fundet egentlige forhold til de andre grupper.

Angrebskæden

For at etablere et første fodfæste på de målrettede computere udnytter LockFile-trusselsaktøren ProxyShell-sårbarhederne, CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207. Dette sæt kædede bedrifter gør det muligt for angriberne at etablere en uautoriseret fjernudførelse af kode. Når de er inde, går LockFile -hackerne videre til PetitPotam -udnyttelsen, som giver dem mulighed for at overtage en domænecontroller og henholdsvis Windows -domænet.

ProxyShell -sårbarhederne blev fuldstændig patched af Microsoft tilbage i maj 2021. Imidlertid har for nylig afslørede tekniske detaljer gjort det muligt for trusselsaktører at replikere udnyttelsen. Alligevel bør installationen af patches ikke negligeres. At håndtere PetitPotam er derimod lidt vanskeligere. Den aktuelt tilgængelige Microsoft -patch løser ikke hele sårbarhedens omfang. Cybersikkerhedsoperatører, der ønsker at forhindre PetitPotam -angreb, skal muligvis henvende sig til uofficielle patches.