Los investigadores de seguridad han descubierto una nueva familia de ransomware llamada LockFile que parece haber sido utilizada para atacar servidores Microsoft Exchange en EE. UU. Y Asia desde al menos el 20 de julio.
Symantec dice que cuando reveló LockFile el 20 de agosto, encontró evidencia de que el ransomware estaba dirigido a al menos 10 organizaciones en el transcurso de un solo mes. La compañía de seguridad dice que los operadores de LockFile utilizaron un ataque llamado PetitPotam, que apunta a un controlador de dominio para obtener el control de una red completa, pero no sabía cómo los atacantes obtuvieron acceso a los servidores.
Kevin Beaumont de DoublePulsar lo hace. Él informa que su proyecto personal de honeypot, un servidor expuesto intencionalmente que puede usarse para aprender más sobre intentos de piratería, fue atacado por los operadores de LockFile el 13 y 16 de agosto. Esos ataques revelaron que LockFile estaba explotando una serie de vulnerabilidades en Microsoft. Exchange conocido colectivamente como ProxyShell.
ProxyShell es una de las tres colecciones de vulnerabilidades que afectan a Microsoft Exchange descubiertas, explotadas y reveladas por el investigador principal de seguridad de Devcore, Orange Tsai. Las superficies de ataque se mostraron en la competencia de piratería Pwn2Own en abril, y Tsai también compartió más información sobre ellas durante una charla en la conferencia Black Hat 2021 el 5 de agosto.
Microsoft parcheó estas vulnerabilidades en mayo, pero BleepingComputer informa que tanto los investigadores como los piratas informáticos han podido recrear el exploit , que ahora se está utilizando para habilitar los ataques LockFile. Los operadores del ransomware también pueden apuntar a los servidores de Exchange que no han recibido las últimas actualizaciones y, por lo tanto, siguen siendo vulnerables a los ataques de ProxyShell originales.
Beaumont dice que todavía hay “cientos de sistemas de acceso a Internet directamente explotables con nombres de host de certificado SSL * .gov” en los EE. UU. Al 21 de agosto y citó el informe de TechTarget de que “decenas de miles de servidores Exchange siguen siendo vulnerables a ProxyLogon y ProxyShell. ” Es probable que algunos de ellos sean honeypots, según el informe, pero lo más probable es que no lo sean.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Dice que “insta encarecidamente a las organizaciones a identificar los sistemas vulnerables en sus redes y aplicar inmediatamente la Actualización de seguridad de Microsoft de mayo de 2021, que corrige las tres vulnerabilidades de ProxyShell, para protegerse contra estos ataques”. Microsoft también ha compartido métodos para mitigar el ataque PetitPotam.
Según los informes, LockFile encripta todos los archivos en un sistema de destino, los renombra con la extensión “.lockfile” y luego muestra una nota que les dice a las víctimas que se comuniquen con los operadores del ransomware por correo electrónico para negociar el costo de recuperar sus archivos. Se dice que esa nota se parece a la utilizada por el grupo de ransomware LockBit y que también incluye una referencia a Conti Gang.
