LockFile ransomware

LockFile sembra essere un nuovo attore di minacce nel panorama dei ransomware. Il gruppo sembra essere attivo almeno da giugno 2021 e, secondo i risultati, ha raggiunto un livello di attività di targeting di 10 organizzazioni in un solo mese. Gli hacker sfruttano due diversi gruppi di vulnerabilità: gli exploit di Microsoft Exchange noti come ProxyShell e le vulnerabilità di Windows PetitPotam. Il payload finale consegnato ai sistemi compromessi è un nuovo ceppo di ransomware chiamato LockFile.

L'analisi dei vecchi esempi di LockFile mostra che non è la minaccia ransomware più sofisticata in circolazione. Durante le sue attività minacciose, la minaccia dirotta una parte significativa delle risorse del sistema e può persino causare blocchi. Il nome di ogni file crittografato viene aggiunto con '.lockfile' come nuova estensione.

Le precedenti infezioni LockFile hanno consegnato una richiesta di riscatto senza marchio con richieste di pagamento tipiche utilizzando la criptovaluta Bitcoin. Successivamente, la banda ha modificato la richiesta di riscatto per identificarli come LockFile. Il nome del file che trasporta il messaggio di richiesta di riscatto è '[victim_name]-LOCKFILE-README.hta.' Come canali di comunicazione, la banda LockFile lascia un ID account TOX e l'indirizzo email "contact@contipauper.com". Va notato che l'e-mail allude alla banda Conti Ransomware mentre la combinazione di colori e il layout della richiesta di riscatto sono simili a quelli utilizzati da LockBit. Finora non sono state trovate relazioni reali con gli altri gruppi.

La catena dell'attacco

Per stabilire un punto d'appoggio iniziale sui computer presi di mira, l'attore di minacce LockFile sfrutta le vulnerabilità ProxyShell, CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Questo insieme di exploit concatenati consente agli aggressori di stabilire un'esecuzione di codice remota non autorizzata. Una volta all'interno, gli hacker di LockFile passano all'exploit PetitPotam, che fornisce loro i mezzi per rilevare un controller di dominio e rispettivamente il dominio di Windows.

Le vulnerabilità di ProxyShell sono state completamente corrette da Microsoft nel maggio 2021. Tuttavia, i dettagli tecnici recentemente svelati hanno permesso agli attori delle minacce di replicare l'exploit. Tuttavia, l'installazione delle patch non dovrebbe essere trascurata. Trattare con PetitPotam, d'altra parte, è un po' più complicato. La patch Microsoft attualmente disponibile non risolve l'intera portata della vulnerabilità. Gli operatori di sicurezza informatica che cercano di prevenire gli attacchi PetitPotam potrebbero dover ricorrere a patch non ufficiali.