LockFile Ransomware

LockFile verkar vara en ny hotaktör i ransomware -landskapet. Gruppen verkar ha varit aktiv sedan minst juni 2021 och har enligt resultaten nått en aktivitetsnivå som riktar sig till tio organisationer på en enda månad. Hackarna utnyttjar två olika grupper av sårbarheter - Microsoft Exchange -exploater som kallas ProxyShell och Windows PetitPotam -sårbarheter. Den slutliga nyttolasten som levereras till de komprometterade systemen är en ny stam av ransomware som heter LockFile.

Analys av äldre LockFile -prover visar att det inte är det mest sofistikerade ransomware -hotet som finns. Under sin hotfulla verksamhet kapar hotet en betydande del av systemets resurser och kan till och med orsaka frysningar. Namnet på varje krypterad fil bifogas med ".lockfile" som ett nytt tillägg.

Tidigare LockFile-infektioner levererade en icke-märkt lösenbrev med typiska betalningskrav med Bitcoin-kryptovalutan. Senare ändrade gänget lösenanteckningen för att identifiera dem som LockFile. Namnet på filen som innehåller det lösenkrävande meddelandet är "[offer_name] -LOCKFILE-README.hta." Som kommunikationskanaler lämnar LockFile -gänget ett TOX -konto -ID och e -postadressen 'contact@contipauper.com'. Det bör noteras att e -postmeddelandet hänvisar till Conti Ransomware -gänget medan färgschemat och layouten för lösenanteckningen liknar dem som används av LockBit. Hittills har inga faktiska relationer till de andra grupperna hittats.

Attackkedjan

LockFile-hotaktören utnyttjar ProxyShell-sårbarheterna CVE-2021-34473, CVE-2021-34523 och CVE-2021-31207 för att etablera ett första fotfäste på de riktade datorerna. Denna uppsättning kedjade exploater gör att angriparna kan upprätta en obehörig, fjärrkörning av kod. När de väl är inne går LockFile -hackarna vidare till PetitPotam -exploateringen, vilket ger dem möjlighet att ta över en domänkontrollant respektive Windows -domänen.

ProxyShell -sårbarheterna lappades helt av Microsoft redan i maj 2021. Nyligen presenterade tekniska detaljer har dock gjort det möjligt för hotaktörer att replikera exploateringen. Ändå bör installationen av patchar inte försummas. Att hantera PetitPotam är å andra sidan lite knepigare. Den för närvarande tillgängliga Microsoft -korrigeringen tar inte upp hela sårbarhetens omfattning. Cybersäkerhetsoperatörer som vill förhindra PetitPotam -attacker kan behöva vända sig till inofficiella patchar.