LockFile Ransomware explora ProxyShell em Servidores Microsoft Exchange

02/09/2021 mindsecblog Notícias 2

LockFile Ransomware explora ProxyShell em Servidores Microsoft Exchange. Hackers encriptam servidores após invasão explorando a vulnerabilidade ProxyShell.

Os servidores Microsoft Exchange foram hackeados por uma gangue de ransomware muito nova, conhecida como LockFile. De acordo com o especialista em segurança cibernética, essa gangue de ransomware apareceu em julho de 2021.

No entanto, o principal motivo desse ransomware é criptografar domínios do Windows logo após invadir servidores Microsoft Exchange, e isso eles fazem com a ajuda de vulnerabilidades do ProxyShell que foram reveladas recentemente.

Os atores da ameaça conduzem essa operação enquanto usam as vulnerabilidades do ProxyShell. Os hackers geralmente violam os alvos com servidores Microsoft Exchange locais não corrigidos e seguidos por um ataque de retransmissão PetitPotam NTLM, uma vez que tomam todo controle do domínio.

Vulnerabilidades descobertas anteriormente

Depois de investigar o ataque, especialistas encontraram três vulnerabilidades e, mais tarde, as juntaram para assumir o controle de um servidor Microsoft Exchange na competição de hacking Pwn2Own 2021 de abril.

CVE-2021-34473 – Pre-auth Path Confusion leva a ACL Bypass (patcheado em abril por KB5001779)
CVE-2021-34523 – Elevação de privilégio no back-end do Exchange PowerShell (corrigido em abril por KB5001779)
CVE-2021-31207 – Post-auth Arbitrary-File-Write leva ao RCE (patcheado em maio por KB5003435)

O que sabíamos sobre o LockFile Ransomware?

Os analistas de segurança estão procurando conhecer todos os detalhes importantes ao ler esse ataque específico. No entanto, há muitas descobertas que ainda não foram divulgadas, mas em julho os especialistas notaram pela primeira vez que a nota de resgate se chamava ‘LOCKFILE-README.hta’, mas o fato interessante é que não tem nenhuma marca especial.

Os invasores estão usando notas de resgate com a marca que indicam que foram chamados de ‘LockFile. Além disso, todas essas notas de resgate aplicam um formato de nomenclatura de ‘[nome_da_vítima] -LOCKFILE-README.hta’ e posteriormente aconselha vítima a se comunicar com eles através do Tox ou e-mail se quiserem negociar o resgate.

O RansomNote é um aplicativo HTML

Os pesquisadores afirmaram que a função em 0x7f00 gera inicialmente a nota de resgate do HTA, como ‘LOCKFILE-README- [hostname] – [id] .hta’ na raiz da unidade.

Após a investigação, os especialistas observaram que, em vez de inserir uma nota no formato TXT, o LockFile formata sua nota de resgate como um arquivo HTML Application (HTA). O ponto mais importante é que a nota de resgate do HTA que estava sendo usada pelo LockFile coincide com a que é usada pelo ransomware LockBit 2.0.

Patch agora!

Depois de conhecer todos os detalhes, ficou claro que essa gangue de ransomware usa as vulnerabilidades do Microsoft Exchange ProxyShell e a vulnerabilidade do Windows PetitPotam NTLM Relay.

De acordo com os pesquisadores, é muito importante que os administradores do Windows instalem as atualizações mais recentes. No caso de vulnerabilidades do ProxyShell, os usuários podem instalar as atualizações cumulativas mais avançadas do Microsoft Exchange, pois isso ajudará a corrigir a vulnerabilidade.

Este tipo de ataque de ransomware é bastante difícil de corrigir, mas os especialistas afirmaram que estão fazendo o possível para contornar esse ataque o mais rápido possível.