Новый вымогатель LockFile атакует Windows-устройства через уязвимости ProxyShell и PetitPotam

Новая кибервымогательская группировка LockFile шифрует домены Windows, предварительно взломав серверы Microsoft Exchange через нашумевшие уязвимости ProxyShell и получив доступ к контроллеру домена через уязвимость PetitPotam.

ProxyShell – это три уязвимости, обнаруженные старшим исследователем безопасности Devcore Оранжем Цаем (Orange Tsai), который использовал их для взлома сервера Microsoft Exchange на соревнованиях Pwn2Own в апреле 2021 года.

CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;

CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.

Как сообщил исследователь безопасности Кевин Бомон (Kevin Beaumont), операторы нового вымогательского ПО начали эксплуатировать уязвимости ProxyShell и PetitPotam для взлома доменов Windows с целью дальнейшего шифрования устройств в сети.

Взломав сеть, хакеры получают доступ к локальным серверам Microsoft Exchange через уязвимости ProxyShell. Укрепившись в сети, они эксплуатируют уязвимость PetitPotam для захвата контроля над контроллером домена и, соответственно, доменом Windows. Далее злоумышленники развертывают во всей сети вымогательское ПО, сообщили эксперты ИБ-компании Symantec.

В настоящее время о кибервымогательской группировке LockFile известно мало. Впервые вымогатель был зафиксирован в июле 2021 года. На атакованных системах он оставлял записку с требованием выкупа в файле LOCKFILE-README.hta. Однако, начиная с прошлой недели, стали появляться сообщения о вымогателе под названием LockFile. В процессе шифрования файлов вымогатель добавляет к имени файла расширение .lockfile.