Ερευνητές ασφαλείας ανακάλυψαν μια νέα οικογένεια ransomware με την ονομασία «LockFile» που φαίνεται ότι χρησιμοποιείται, τουλάχιστον από τις 20 Ιουλίου, σε επιθέσεις που έχουν ως στόχο Microsoft Exchange servers στις ΗΠΑ και την Ασία.
Η Symantec ανέφερε πως στις 20 Αυγούστου που αποκάλυψε το LockFile, βρήκε στοιχεία ότι το ransomware στόχευσε τουλάχιστον 10 οργανισμούς μέσα σε ένα μήνα. Η εταιρεία κυβερνοασφάλειας πρόσθεσε ακόμη ότι οι χειριστές του LockFile χρησιμοποίησαν μια επίθεση με την ονομασία “PetitPotam”, η οποία είχε ως στόχο έναν ελεγκτή domain, για να αποκτήσουν τον έλεγχο ενός ολόκληρου δικτύου, χωρίς να γνωρίζει ωστόσο πώς οι εισβολείς απέκτησαν πρόσβαση στους servers.
- Ο Kevin Beaumont του DoublePulsar ανέφερε ότι το προσωπικό του honeypot project – ένας σκόπιμα εκτεθειμένος server που μπορεί να χρησιμοποιηθεί για τη συγκέντρωση περισσότερων πληροφοριών σχετικά με απόπειρες hacking – έγινε στόχος των χειριστών του LockFile το διάστημα μεταξύ 13 και 16 Αυγούστου. Αυτές οι επιθέσεις αποκάλυψαν ότι το LockFile εκμεταλλεύτηκε μια σειρά ευπαθειών στο Microsoft Exchange που είναι γνωστή ως «ProxyShell».
Η Microsoft επιδιόρθωσε αυτά τα τρωτά σημεία τον Μάιο, αλλά το BleepingComputer αναφέρει ότι ερευνητές και χάκερ κατάφεραν να δημιουργήσουν εκ νέου την εκμετάλλευση, η οποία τώρα χρησιμοποιείται για την εκτέλεση των επιθέσεων του LockFile. Οι χειριστές του ransomware μπορούν επίσης να στοχεύσουν Exchange servers που δεν έχουν λάβει τις πιο πρόσφατες ενημερώσεις και επομένως παραμένουν ευάλωτοι στις αρχικές ProxyShell επιθέσεις.
Η CISA λέει ότι «παροτρύνει έντονα τους οργανισμούς να εντοπίσουν ευπαθή συστήματα στα δίκτυά τους και να εφαρμόσουν αμέσως την ενημέρωση ασφαλείας της Microsoft από τον Μάιο του 2021 – η οποία διορθώνει και τα τρία τρωτά σημεία του ProxyShell – για προστασία από αυτές τις επιθέσεις». Η Microsoft έχει επίσης κοινοποιήσει μεθόδους για τον μετριασμό της επίθεσης PetitPotam.
Το LockFile κρυπτογραφεί όλα τα αρχεία σε ένα σύστημα – στόχο, τα μετονομάζει με την επέκταση “.lockfile” και, στη συνέχεια, εμφανίζει ένα σημείωμα που λέει στα θύματα να επικοινωνήσουν με τους χειριστές του ransomware μέσω email για να διαπραγματευτούν το κόστος ανάκτησης των αρχείων τους. Το εν λόγω σημείωμα λέγεται ότι μοιάζει με εκείνο που χρησιμοποιεί η συμμορία του LockBit ransomware και ότι περιλαμβάνει επίσης μια αναφορά στη συμμορία του Conti ransomware.