LockFile Ransomware

लॉकफाइल रैंसमवेयर परिदृश्य पर एक नया खतरा अभिनेता प्रतीत होता है। ऐसा प्रतीत होता है कि समूह कम से कम जून 2021 से सक्रिय है और निष्कर्षों के अनुसार, एक महीने में 10 संगठनों को लक्षित करने के गतिविधि स्तर तक पहुंच गया है। हैकर्स कमजोरियों के दो अलग-अलग समूहों का फायदा उठाते हैं - माइक्रोसॉफ्ट एक्सचेंज प्रोक्सीशेल और विंडोज पेटिटपोटम कमजोरियों के रूप में जाना जाता है। समझौता किए गए सिस्टम को दिया गया अंतिम पेलोड लॉकफाइल नामक रैंसमवेयर का एक नया स्ट्रेन है।

पुराने लॉकफाइल नमूनों के विश्लेषण से पता चलता है कि यह सबसे परिष्कृत रैंसमवेयर खतरा नहीं है। अपनी खतरनाक गतिविधियों के दौरान, खतरा सिस्टम के संसाधनों के एक महत्वपूर्ण हिस्से को हाईजैक कर लेता है और यहां तक कि फ्रीज भी कर सकता है। प्रत्येक एन्क्रिप्टेड फ़ाइल का नाम '.lockfile' के साथ एक नए एक्सटेंशन के रूप में जोड़ा जाता है।

पहले लॉकफाइल संक्रमणों ने बिटकॉइन क्रिप्टोक्यूरेंसी का उपयोग करके भुगतान की विशिष्ट मांगों के साथ एक गैर-ब्रांडेड फिरौती नोट दिया। बाद में, गिरोह ने लॉकफाइल के रूप में उनकी पहचान करने के लिए फिरौती नोट को संशोधित किया। फिरौती मांगने वाले संदेश वाली फ़ाइल का नाम '[पीड़ित_नाम]-LOCKFILE-README.hta' है। संचार चैनलों के रूप में, लॉकफाइल गिरोह एक TOX खाता आईडी और 'contact@contipauper.com' ईमेल पता छोड़ता है। यह ध्यान दिया जाना चाहिए कि ईमेल Conti Ransomware गिरोह को दर्शाता है, जबकि रंग योजना और फिरौती नोट का लेआउट लॉकबिट द्वारा उपयोग किए जाने वाले समान हैं। अब तक, अन्य समूहों के साथ वास्तविक संबंध नहीं पाए गए हैं।

हमले की श्रृंखला

लक्षित कंप्यूटरों पर प्रारंभिक पैर जमाने के लिए, लॉकफाइल खतरा अभिनेता प्रॉक्सीशेल कमजोरियों, सीवीई-2021-34473, सीवीई-2021-34523 और सीवीई-2021-31207 का लाभ उठाता है। जंजीर शोषण का यह सेट हमलावरों को एक अनधिकृत, रिमोट कोड निष्पादन स्थापित करने की अनुमति देता है। एक बार अंदर जाने के बाद, लॉकफाइल हैकर्स पेटिटपोटम शोषण की ओर बढ़ते हैं, जो उन्हें एक डोमेन नियंत्रक और क्रमशः विंडोज डोमेन पर कब्जा करने के साधन प्रदान करता है।

ProxyShell कमजोरियों को मई 2021 में Microsoft द्वारा पूरी तरह से ठीक कर दिया गया था। हालाँकि, हाल ही में अनावरण किए गए तकनीकी विवरणों ने खतरे वाले अभिनेताओं के लिए शोषण को दोहराना संभव बना दिया है। फिर भी, पैच स्थापित करने की उपेक्षा नहीं की जानी चाहिए। दूसरी ओर, पेटिटपोटम से निपटना थोड़ा मुश्किल है। वर्तमान में उपलब्ध Microsoft पैच भेद्यता के पूर्ण दायरे को संबोधित नहीं करता है। पेटिटपोटम हमलों को रोकने के लिए देख रहे साइबर सुरक्षा संचालकों को अनौपचारिक पैच की ओर रुख करने की आवश्यकता हो सकती है।