LockFile Ransomware

LockFile wydaje się być nowym podmiotem zajmującym się zagrożeniami w krajobrazie ransomware. Wydaje się, że grupa jest aktywna od co najmniej czerwca 2021 r. i zgodnie z ustaleniami osiągnęła poziom aktywności obejmujący 10 organizacji w ciągu jednego miesiąca. Hakerzy wykorzystują dwie różne grupy luk — exploity Microsoft Exchange znane jako ProxyShell oraz luki w systemie Windows PetitPotam. Ostatecznym ładunkiem dostarczanym do zaatakowanych systemów jest nowa odmiana oprogramowania ransomware o nazwie LockFile.

Analiza starszych próbek LockFile pokazuje, że nie jest to najbardziej wyrafinowane zagrożenie ransomware. Podczas swoich niebezpiecznych działań zagrożenie przejmuje znaczną część zasobów systemu, a nawet może powodować zawieszanie się. Do nazwy każdego zaszyfrowanego pliku dodawany jest '.lockfile' jako nowe rozszerzenie.

Wcześniejsze infekcje LockFile dostarczyły niemarkowy żądanie okupu z typowymi żądaniami zapłaty przy użyciu kryptowaluty Bitcoin. Później gang zmodyfikował notatkę z okupem, aby zidentyfikować ich jako LockFile. Nazwa pliku zawierającego wiadomość z żądaniem okupu to „[nazwa_ofiary]-LOCKFILE-README.hta". Jako kanały komunikacji gang LockFile pozostawia identyfikator konta TOX i adres e-mail „contact@contipauper.com". Należy zauważyć, że e-mail nawiązuje do gangu Conti Ransomware, podczas gdy schemat kolorów i układ żądania okupu są podobne do tych używanych przez LockBit. Jak dotąd nie znaleziono rzeczywistych relacji z innymi grupami.

Łańcuch Ataku

Aby ustanowić wstępną przyczółek na zaatakowanych komputerach, podmiot atakujący LockFile wykorzystuje luki ProxyShell, CVE-2021-34473, CVE-2021-34523 i CVE-2021-31207. Ten zestaw powiązanych ze sobą exploitów umożliwia atakującym wykonanie nieautoryzowanego, zdalnego wykonania kodu. Po wejściu do środka hakerzy LockFile przechodzą do exploita PetitPotam, który zapewnia im środki do przejęcia kontrolera domeny i odpowiednio domeny Windows.

Luki ProxyShell zostały w pełni załatane przez Microsoft w maju 2021 r. Jednak niedawno ujawnione szczegóły techniczne umożliwiły cyberprzestępcom replikację exploita. Nie należy jednak zaniedbywać instalacji łatek. Z drugiej strony radzenie sobie z PetitPotam jest nieco trudniejsze. Obecnie dostępna poprawka firmy Microsoft nie obejmuje pełnego zakresu luki. Operatorzy cyberbezpieczeństwa, którzy chcą zapobiec atakom PetitPotam, mogą być zmuszeni do skorzystania z nieoficjalnych łatek.