Una volta che la rete è stata compromessa, i criminali ottengono l’accesso a Microsoft Exchange tramite ProxyShell e quindi prendono il controllo del dominio tramite PetitPotam.
Il nuovo gruppo di cyber ransomware LockFile crittografa i domini Windows dopo aver hackerato i server Microsoft Exchange attraverso le famigerate vulnerabilità ProxyShell e aver ottenuto l’accesso al controller di dominio tramite la vulnerabilità PetitPotam.
ProxyShell sono tre vulnerabilità scoperte dal ricercatore di sicurezza senior presso Devcore Orange Tsai, che le ha utilizzate per hackerare un server Microsoft Exchange alla competizione Pwn2Own nell’aprile 2021.
CVE-2021-34473 – Elenco controllo accessi (bypass ACL). Risolto nell’aprile 2021 nell’aggiornamento KB5001779;
CVE-2021-34523 – Escalation dei privilegi nel backend di Exchange PowerShell. Risolto nell’aprile 2021 nell’aggiornamento KB5001779;
CVE-2021-31207 – Esecuzione codice remoto. Risolto a maggio 2021 in KB5003435.
Secondo il report del ricercatore di sicurezza Kevin Beaumont, gli operatori del nuovo ransomware hanno iniziato sfruttando ProxyShell e PetitPotam vulnerabilità per incidere domini Windows al fine di ulteriori dispositivi di crittografare in rete.
Dopo aver compromesso la rete, gli hacker ottengono l’accesso ai server Microsoft Exchange locali tramite le vulnerabilità di ProxyShell. Una volta che prendono piede nella rete, sfruttano la vulnerabilità PetitPotam per prendere il controllo del controller di dominio e, di conseguenza, del dominio Windows. Successivamente, gli aggressori hanno distribuito in tutta la rete del software molto potente, hanno affermato gli esperti della società di sicurezza delle informazioni Symantec.
Al momento si sa poco del gruppo di cyber ransomware LockFile. Il ransomware è stato registrato per la prima volta nel luglio 2021. Sui sistemi che ha attaccato, ha lasciato una richiesta di riscatto nel file LOCKFILE-README.hta. Tuttavia, dalla scorsa settimana, ci sono state segnalazioni di un ransomware chiamato LockFile. Nel processo di crittografia dei file, il ransomware aggiunge l’estensione .lockfile al nome del file.