Artikel top billede

(Foto: 2017 Getty Images / Dave Kotinsky)

Ny ransomware-hackergruppe tvinger sig adgang til Exchange-servere gennem længe kendt sårbarhed

Microsoft havde egentligt patchet disse åbne døre ind i Mivrosoft Exchange-servere, men ProxyShell-sårbarhederne skaber nu ulovlige indgange for en ny ransomware-gruppe.

En ny ramsomare-hackergruppe, som har fået navnet LockFile, er blevet kendt for at kryptere Windows-domæner ved at hacke sig ind på ofrenes Microsoft Exchange-servere gennem en allerede velkendt sårbarhed.

Sårbarheden, som har fået navnet ProxyShell, består egentligt af en kombination af tre Microsoft Exchange-sårbarheder, der når man kobler den sammen, giver indtrængere beføjelser til at køre ondsindet kode på enhederne. Det skriver BleepingComputer.

ProxyShell-sårbarhederne, som egentligt blevet opdaget ved Pwn2Own 2021 hacker-konkurrence tilbage i april i år, var egentligt blevet lappet af Microsoft så sent som i maj. Men nyopdagede tekniske detaljer i sammenkædningen har gjort det muligt for både white-hat og black-hat-hackere at genskabe den potentielle udnyttelsesmulighed.

Derfor scanner trusselsaktører som LockFile lige nu efter Microsoft Exchange-servere, hvori de kan udnytte ProxyShell-sårbarheder. LockFile-hackerne har gennem disse sårbarheder kunne droppe webshells - en digital fjernstyringsmekanisme - i serverne, som har tilladt hackerne at installere og køre kode på serverne fra distancen.

Efter de har fundet vej ind via ProxyShell, bruger LockFile-gruppen en anden sårbarhed - PetitPotam-sårbarheden - til at overtage en domænecontroller og altså dermed Windows-domænet.

Herfra er det let for LockFile-gruppen af implentere ransomware i hele server-netværket.

Hvem er LockFile?

Gruppen, der lige nu huserer i virksomheders og organisationers sårbare Exchange-servere, har fået sit navn efter titlen på en fil, som gruppen i juli sendte til et af sine ofre, som indeholdt en afpresningsmeddelelse.

Filen havde de døbt "LOCKFILE-README.hta".

Når gruppen krypterer ofrenes filer, bliver ".lockfile" desuden tilføjet til filnavnet.

Gruppen fik offeret til at kontakte hackerne via Tox eller e-mail for at forhandle om løsesummen.

LockFile henviser ofrene til contact@contipauper.com - muligvis en reference til conti-ransomwaren, som er observeret første gang i 2020. Netop denne ransomware-type berører alle versioner af Microsoft Windows.

Det er dog uvist om bagmændene bag ProxyShell-angrebene er de samme, som dem, der står bag Conti-angrebene.

Det siger sig selv, at det anbefales kraftigt fra både Microsoft og sikkerhedseksperter at Windows-administratorer opdaterer sine systemer med det samme.

Det gælder både patching af ProxyShell-sårbarhederne og PetitPotam-sårbarhederne.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere