LockFile 勒索軟件

LockFile 似乎是勒索軟件領域的新威脅參與者。該組織似乎至少自 2021 年 6 月以來一直活躍，根據調查結果，其活動水平已達到在一個月內針對 10 個組織的活動水平。黑客利用了兩組不同的漏洞——稱為 ProxyShell 的 Microsoft Exchange 漏洞和 Windows PetitPotam 漏洞。交付到受感染系統的最終有效載荷是一種名為 LockFile 的新型勒索軟件。

對舊版 LockFile 樣本的分析表明，這並不是最複雜的勒索軟件威脅。在其威脅活動期間，威脅劫持了系統資源的很大一部分，甚至可能導致凍結。每個加密文件的名稱都附加了".lockfile"作為新擴展名。

較早的 LockFile 感染髮送了一張無品牌的贖金票據，其中包含使用比特幣加密貨幣的典型付款要求。後來，該團伙修改了贖金票據，將其識別為 LockFile。攜帶索要贖金信息的文件名為"[victim_name]-LOCKFILE-README.hta"。作為溝通渠道，LockFile 團伙留下了 TOX 帳戶 ID 和"contact@contipauper.com"電子郵件地址。應該注意的是，該電子郵件暗示了Conti Ransomware團伙，而贖金票據的配色方案和佈局與 LockBit 使用的相似。到目前為止，還沒有發現與其他群體的實際關係。

攻擊鏈

為了在目標計算機上建立初始立足點，LockFile 威脅攻擊者利用了 ProxyShell 漏洞、CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。這組連鎖攻擊允許攻擊者建立未經授權的遠程代碼執行。一旦進入，LockFile 黑客就會繼續利用 PetitPotam 漏洞，這為他們提供了接管域控制器和 Windows 域的方法。

早在 2021 年 5 月，微軟就對 ProxyShell 漏洞進行了全面修補。 然而，最近公佈的技術細節使威脅行為者有可能複制該漏洞。儘管如此，安裝補丁也不應該被忽視。另一方面，處理 PetitPotam 有點棘手。當前可用的 Microsoft 補丁並未解決漏洞的全部範圍。希望防止 PetitPotam 攻擊的網絡安全人員可能需要求助於非官方補丁。