Threat Database Ransomware LockFile Ransomware

LockFile Ransomware

LockFile parece ser um novo autor de ameaças no cenário do ransomware. O grupo parece estar ativo desde pelo menos junho de 2021 e, de acordo com as descobertas, atingiu um nível de atividade de atingir 10 organizações em um único mês. Os hackers exploram dois grupos diferentes de vulnerabilidades - os exploits do Microsoft Exchange conhecidos como ProxyShell e as vulnerabilidades do Windows PetitPotam. A carga útil final entregue aos sistemas comprometidos é uma nova variedade de ransomware chamada LockFile.

A análise das amostras mais antigas do LockFile mostra que não é a ameaça de ransomware mais sofisticada que existe. Durante suas atividades ameaçadoras, a ameaça sequestra uma parte significativa dos recursos do sistema e pode até causar congelamentos. O nome de cada arquivo criptografado é anexado com '.lockfile' como uma nova extensão.

As infecções anteriores do LockFile entregaram uma nota de resgate sem marca, com demandas típicas de pagamento usando a cripto-moeda Bitcoin. Mais tarde, a quadrilha modificou a nota de resgate para identificá-los como LockFile. O nome do arquivo que contém a mensagem que exige o resgate é '[nome_da_vítima] -LOCKFILE-README.hta.' Como canais de comunicação, a turma do LockFile deixa um ID da conta TOX e o endereço de e-mail 'contact@contipauper.com'. Deve-se notar que o e-mail faz alusão à gangue do Conti Ransomware, enquanto o esquema de cores e o layout da nota de resgate são semelhantes aos usados pelo LockBit. Até agora, não foram encontradas relações reais com os outros grupos.

A Cadeia de Ataque

Para estabelecer uma posição inicial nos computadores alvo, o ator de ameaça LockFile aproveita as vulnerabilidades ProxyShell, CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Esse conjunto de explorações encadeadas permite que os invasores estabeleçam uma execução remota de código não autorizada. Uma vez lá dentro, os hackers do LockFile passam para o exploit PetitPotam, que fornece os meios para assumir o controle de um controlador de domínio e, respectivamente, o domínio do Windows.

As vulnerabilidades do ProxyShell foram totalmente corrigidas pela Microsoft em maio de 2021. No entanto, detalhes técnicos recentemente revelados possibilitaram aos agentes de ameaças replicar a exploração. Ainda assim, a instalação das correções não deve ser negligenciada. Lidar com o PetitPotam, por outro lado, é um pouco mais complicado. O patch da Microsoft disponível atualmente não aborda todo o escopo da vulnerabilidade. Os operadores de segurança cibernética que buscam prevenir ataques do PetitPotam podem precisar recorrer a correções não oficiais.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...