LockFile Ransomware explora ProxyShell em Servidores Microsoft Exchange. Hackers encriptam servidores após invasão explorando a vulnerabilidade ProxyShell.
Os servidores Microsoft Exchange foram hackeados por uma gangue de ransomware muito nova, conhecida como LockFile. De acordo com o especialista em segurança cibernética, essa gangue de ransomware apareceu em julho de 2021.
No entanto, o principal motivo desse ransomware é criptografar domínios do Windows logo após invadir servidores Microsoft Exchange, e isso eles fazem com a ajuda de vulnerabilidades do ProxyShell que foram reveladas recentemente.
Os atores da ameaça conduzem essa operação enquanto usam as vulnerabilidades do ProxyShell. Os hackers geralmente violam os alvos com servidores Microsoft Exchange locais não corrigidos e seguidos por um ataque de retransmissão PetitPotam NTLM, uma vez que tomam todo controle do domínio.
Vulnerabilidades descobertas anteriormente
Depois de investigar o ataque, especialistas encontraram três vulnerabilidades e, mais tarde, as juntaram para assumir o controle de um servidor Microsoft Exchange na competição de hacking Pwn2Own 2021 de abril.
- CVE-2021-34473 – Pre-auth Path Confusion leva a ACL Bypass (patcheado em abril por KB5001779)
- CVE-2021-34523 – Elevação de privilégio no back-end do Exchange PowerShell (corrigido em abril por KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write leva ao RCE (patcheado em maio por KB5003435)
O que sabíamos sobre o LockFile Ransomware?
Os analistas de segurança estão procurando conhecer todos os detalhes importantes ao ler esse ataque específico. No entanto, há muitas descobertas que ainda não foram divulgadas, mas em julho os especialistas notaram pela primeira vez que a nota de resgate se chamava ‘LOCKFILE-README.hta’, mas o fato interessante é que não tem nenhuma marca especial.
Os invasores estão usando notas de resgate com a marca que indicam que foram chamados de ‘LockFile. Além disso, todas essas notas de resgate aplicam um formato de nomenclatura de ‘[nome_da_vítima] -LOCKFILE-README.hta’ e posteriormente aconselha vítima a se comunicar com eles através do Tox ou e-mail se quiserem negociar o resgate.
O RansomNote é um aplicativo HTML
Os pesquisadores afirmaram que a função em 0x7f00 gera inicialmente a nota de resgate do HTA, como ‘LOCKFILE-README- [hostname] – [id] .hta’ na raiz da unidade.
Após a investigação, os especialistas observaram que, em vez de inserir uma nota no formato TXT, o LockFile formata sua nota de resgate como um arquivo HTML Application (HTA). O ponto mais importante é que a nota de resgate do HTA que estava sendo usada pelo LockFile coincide com a que é usada pelo ransomware LockBit 2.0.
Patch agora!
Depois de conhecer todos os detalhes, ficou claro que essa gangue de ransomware usa as vulnerabilidades do Microsoft Exchange ProxyShell e a vulnerabilidade do Windows PetitPotam NTLM Relay.
De acordo com os pesquisadores, é muito importante que os administradores do Windows instalem as atualizações mais recentes. No caso de vulnerabilidades do ProxyShell, os usuários podem instalar as atualizações cumulativas mais avançadas do Microsoft Exchange, pois isso ajudará a corrigir a vulnerabilidade.
Este tipo de ataque de ransomware é bastante difícil de corrigir, mas os especialistas afirmaram que estão fazendo o possível para contornar esse ataque o mais rápido possível.
Fonte: GBHackers
Veja também:
- Vulnerabilidade grave no Microsoft Azure expôs os dados de milhares de clientes
- LGPD – Instituição de Ensino é condenada por uso ilegal de dados pessoais
- NCSC lança guia Zero Trust 1.0 para proteção avançada
- Guardicore Centra mitiga ransomware com segmentação baseada em software
- Microsoft Power Apps mal configurado vaza dados sensíveis de centenas de portais
- CISA emite alerta urgente sobre ProxyShell em Exchange
- Proteger a privacidade é um jogo perdido hoje, como mudar o jogo?
- Simulador de Ransomware, a sua rede é eficaz no bloqueio de ransomware?
- Hospital de Santa Catarina sofre ataque de Ransomware
- Uma VPN protege você de hackers?
- Lojas Renner fica fora do ar devido a ataque de Ransomware
- T-Mobile é invadida e hackers vazam informações de mais de 8 milhões de clientes
Deixe sua opinião!