LockFile Ransomware

LockFile, fidye yazılımı ortamında yeni bir tehdit aktörü gibi görünüyor. Grup, en az Haziran 2021'den beri aktif görünüyor ve bulgulara göre, bir ayda 10 kuruluşu hedef alan bir faaliyet düzeyine ulaştı. Bilgisayar korsanları, ProxyShell olarak bilinen Microsoft Exchange ve Windows PetitPotam güvenlik açıkları olmak üzere iki farklı güvenlik açığı grubunu kullanır. Güvenliği ihlal edilmiş sistemlere teslim edilen son yük, LockFile adlı yeni bir fidye yazılımı türüdür.

Daha eski LockFile örneklerinin analizi, bunun en karmaşık fidye yazılımı tehdidi olmadığını gösteriyor. Tehdit edici faaliyetleri sırasında tehdit, sistem kaynaklarının önemli bir bölümünü ele geçirir ve hatta donmalara neden olabilir. Her şifreli dosyanın adı, yeni bir uzantı olarak '.lockfile' ile eklenir.

Daha önceki LockFile enfeksiyonları, Bitcoin kripto para birimini kullanarak tipik ödeme talepleriyle birlikte markasız bir fidye notu verdi. Daha sonra çete, fidye notunu LockFile olarak tanımlamak için değiştirdi. Fidye talep eden mesajı taşıyan dosyanın adı '[victim_name]-LOCKFILE-README.hta'dır. LockFile çetesi, iletişim kanalları olarak bir TOX hesap kimliği ve 'contact@contipauper.com' e-posta adresi bırakır. Fidye notunun renk şeması ve düzeni LockBit tarafından kullanılanlara benzerken, e-postanın Conti Ransomware çetesine atıfta bulunduğu belirtilmelidir. Şimdiye kadar, diğer gruplarla gerçek ilişkiler bulunamadı.

Saldırı Zinciri

LockFile tehdit aktörü, hedeflenen bilgisayarlarda bir başlangıç noktası oluşturmak için ProxyShell güvenlik açıklarından, CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207'den yararlanır. Bu zincirleme açıklardan yararlanma seti, saldırganların yetkisiz, uzaktan kod yürütmesi oluşturmasına olanak tanır. İçeri girdikten sonra, LockFile bilgisayar korsanları, onlara bir etki alanı denetleyicisini ve sırasıyla Windows etki alanını devralmak için araçlar sağlayan PetitPotam istismarına geçer.

ProxyShell güvenlik açıkları, Mayıs 2021'de Microsoft tarafından tamamen yamalandı. Ancak, yakın zamanda açıklanan teknik ayrıntılar, tehdit aktörlerinin istismarı çoğaltmasını mümkün kıldı. Yine de, yamaların yüklenmesi ihmal edilmemelidir. PetitPotam ile uğraşmak ise biraz daha zor. Şu anda mevcut olan Microsoft yaması, güvenlik açığının tam kapsamını ele almıyor. PetitPotam saldırılarını önlemek isteyen siber güvenlik operatörlerinin resmi olmayan yamalara başvurması gerekebilir.