LockFile 勒索软件

LockFile 似乎是勒索软件领域的新威胁参与者。该组织似乎至少自 2021 年 6 月以来一直活跃，根据调查结果，其活动水平已达到在一个月内针对 10 个组织的活动水平。黑客利用了两组不同的漏洞——称为 ProxyShell 的 Microsoft Exchange 漏洞和 Windows PetitPotam 漏洞。交付到受感染系统的最终有效载荷是一种名为 LockFile 的新型勒索软件。

对旧版 LockFile 样本的分析表明，这并不是最复杂的勒索软件威胁。在其威胁活动期间，威胁劫持了系统资源的很大一部分，甚至可能导致冻结。每个加密文件的名称都附加了".lockfile"作为新扩展名。

较早的 LockFile 感染发送了一张无品牌的赎金票据，其中包含使用比特币加密货币的典型付款要求。后来，该团伙修改了赎金票据，将其识别为 LockFile。携带索要赎金信息的文件名为"[victim_name]-LOCKFILE-README.hta"。作为沟通渠道，LockFile 团伙留下了 TOX 帐户 ID 和"contact@contipauper.com"电子邮件地址。应该注意的是，该电子邮件暗示了Conti Ransomware团伙，而赎金票据的配色方案和布局与 LockBit 使用的相似。到目前为止，还没有发现与其他群体的实际关系。

攻击链

为了在目标计算机上建立初始立足点，LockFile 威胁攻击者利用了 ProxyShell 漏洞、CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。这组连锁攻击允许攻击者建立未经授权的远程代码执行。一旦进入，LockFile 黑客就会继续利用 PetitPotam 漏洞，这为他们提供了接管域控制器和 Windows 域的方法。

早在 2021 年 5 月，微软就对 ProxyShell 漏洞进行了全面修补。 然而，最近公布的技术细节使威胁行为者有可能复制该漏洞。尽管如此，安装补丁也不应该被忽视。另一方面，处理 PetitPotam 有点棘手。当前可用的 Microsoft 补丁并未解决漏洞的全部范围。希望防止 PetitPotam 攻击的网络安全人员可能需要求助于非官方补丁。