LockFile Ransomware

LockFile lijkt een nieuwe bedreigingsacteur te zijn in het ransomware-landschap. De groep lijkt actief te zijn sinds ten minste juni 2021 en heeft volgens de bevindingen een activiteitsniveau van 10 organisaties in één maand bereikt. De hackers exploiteren twee verschillende groepen kwetsbaarheden: de Microsoft Exchange-exploits bekend als ProxyShell en de Windows PetitPotam-kwetsbaarheden. De laatste lading die aan de gecompromitteerde systemen wordt geleverd, is een nieuwe stam van ransomware genaamd LockFile.

Analyse van oudere LockFile-voorbeelden toont aan dat dit niet de meest geavanceerde ransomware-bedreiging is die er is. Tijdens zijn bedreigende activiteiten kaapt de dreiging een aanzienlijk deel van de systeembronnen en kan zelfs bevriezing veroorzaken. Aan de naam van elk versleuteld bestand wordt als nieuwe extensie '.lockfile' toegevoegd.

Eerdere LockFile-infecties leverden een merkloos losgeldbriefje met typische betalingsverzoeken met behulp van de Bitcoin-cryptocurrency. Later wijzigde de bende het losgeldbriefje om ze te identificeren als LockFile. De naam van het bestand met het bericht waarin om losgeld wordt gevraagd, is '[naam slachtoffer]-LOCKFILE-README.hta.' Als communicatiekanalen laat de LockFile-bende een TOX-account-ID en het 'contact@contipauper.com'-e-mailadres achter. Opgemerkt moet worden dat de e-mail verwijst naar de Conti Ransomware- bende, terwijl het kleurenschema en de lay-out van de losgeldbrief vergelijkbaar zijn met die van LockBit. Tot nu toe zijn er geen echte relaties met de andere groepen gevonden.

De aanvalsketen

Om een eerste voet aan de grond te krijgen op de beoogde computers, maakt de LockFile-bedreigingsacteur gebruik van de ProxyShell-kwetsbaarheden, CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Met deze reeks geketende exploits kunnen de aanvallers een ongeautoriseerde, externe code-uitvoering tot stand brengen. Eenmaal binnen gaan de LockFile-hackers verder met de PetitPotam-exploit, die hen de middelen geeft om een domeincontroller en respectievelijk het Windows-domein over te nemen.

De ProxyShell-kwetsbaarheden werden in mei 2021 volledig gepatcht door Microsoft. Recent onthulde technische details hebben het echter mogelijk gemaakt voor bedreigingsactoren om de exploit te repliceren. Toch mag het installeren van de patches niet worden verwaarloosd. Omgaan met PetitPotam is daarentegen wat lastiger. De momenteel beschikbare Microsoft-patch lost niet de volledige omvang van het beveiligingslek op. Cybersecurity-medewerkers die PetitPotam-aanvallen willen voorkomen, moeten mogelijk onofficiële patches gebruiken.