Взломав сеть, хакеры получают доступ к Microsoft Exchange через ProxyShell, а затем захватывают контроля над доменом через PetitPotam.
Новая кибервымогательская группировка LockFile шифрует домены Windows, предварительно взломав серверы Microsoft Exchange через нашумевшие уязвимости ProxyShell и получив доступ к контроллеру домена через уязвимость PetitPotam.
ProxyShell – это три уязвимости, обнаруженные старшим исследователем безопасности Devcore Оранжем Цаем (Orange Tsai), который использовал их для взлома сервера Microsoft Exchange на соревнованиях Pwn2Own в апреле 2021 года.
- CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;
- CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;
- CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.
Как сообщил исследователь безопасности Кевин Бомон (Kevin Beaumont), операторы нового вымогательского ПО начали эксплуатировать уязвимости ProxyShell и PetitPotam для взлома доменов Windows с целью дальнейшего шифрования устройств в сети.
Взломав сеть, хакеры получают доступ к локальным серверам Microsoft Exchange через уязвимости ProxyShell. Укрепившись в сети, они эксплуатируют уязвимость PetitPotam для захвата контроля над контроллером домена и, соответственно, доменом Windows. Далее злоумышленники развертывают во всей сети вымогательское ПО, сообщили эксперты ИБ-компании Symantec.
В настоящее время о кибервымогательской группировке LockFile известно мало. Впервые вымогатель был зафиксирован в июле 2021 года. На атакованных системах он оставлял записку с требованием выкупа в файле LOCKFILE-README.hta. Однако, начиная с прошлой недели, стали появляться сообщения о вымогателе под названием LockFile. В процессе шифрования файлов вымогатель добавляет к имени файла расширение .lockfile.