En ny ramsomare-hackergruppe, som har fået navnet LockFile, er blevet kendt for at kryptere Windows-domæner ved at hacke sig ind på ofrenes Microsoft Exchange-servere gennem en allerede velkendt sårbarhed.
Sårbarheden, som har fået navnet ProxyShell, består egentligt af en kombination af tre Microsoft Exchange-sårbarheder, der når man kobler den sammen, giver indtrængere beføjelser til at køre ondsindet kode på enhederne. Det skriver BleepingComputer.
ProxyShell-sårbarhederne, som egentligt blevet opdaget ved Pwn2Own 2021 hacker-konkurrence tilbage i april i år, var egentligt blevet lappet af Microsoft så sent som i maj. Men nyopdagede tekniske detaljer i sammenkædningen har gjort det muligt for både white-hat og black-hat-hackere at genskabe den potentielle udnyttelsesmulighed.
Derfor scanner trusselsaktører som LockFile lige nu efter Microsoft Exchange-servere, hvori de kan udnytte ProxyShell-sårbarheder. LockFile-hackerne har gennem disse sårbarheder kunne droppe webshells - en digital fjernstyringsmekanisme - i serverne, som har tilladt hackerne at installere og køre kode på serverne fra distancen.
Efter de har fundet vej ind via ProxyShell, bruger LockFile-gruppen en anden sårbarhed - PetitPotam-sårbarheden - til at overtage en domænecontroller og altså dermed Windows-domænet.
Herfra er det let for LockFile-gruppen af implentere ransomware i hele server-netværket.
Hvem er LockFile?
Gruppen, der lige nu huserer i virksomheders og organisationers sårbare Exchange-servere, har fået sit navn efter titlen på en fil, som gruppen i juli sendte til et af sine ofre, som indeholdt en afpresningsmeddelelse.
Filen havde de døbt "LOCKFILE-README.hta".
Når gruppen krypterer ofrenes filer, bliver ".lockfile" desuden tilføjet til filnavnet.
Gruppen fik offeret til at kontakte hackerne via Tox eller e-mail for at forhandle om løsesummen.
LockFile henviser ofrene til contact@contipauper.com - muligvis en reference til conti-ransomwaren, som er observeret første gang i 2020. Netop denne ransomware-type berører alle versioner af Microsoft Windows.
Det er dog uvist om bagmændene bag ProxyShell-angrebene er de samme, som dem, der står bag Conti-angrebene.
Det siger sig selv, at det anbefales kraftigt fra både Microsoft og sikkerhedseksperter at Windows-administratorer opdaterer sine systemer med det samme.
Det gælder både patching af ProxyShell-sårbarhederne og PetitPotam-sårbarhederne.
