Los investigadores de seguridad afirman haber descubierto una nueva familia de ransomware llamada LockFile Parece ser lo mismo que se usó anteriormente para el ataque. Microsoft Exchange Servidores en EE. UU. Y Asia. de acuerdo a SymantecEn la campaña en curso, un ransomware nunca antes visto ha infectado al menos a 10 empresas. Estos objetivos se encuentran en todas las industrias.
El ransomware LockFile se detectó por primera vez en la red de una institución financiera de EE. UU. El 20 de julio de 2021, y su actividad más reciente se registró el 20 de agosto.
¿Cómo funciona el nuevo ataque?
Según Symantec, hay indicios de que los atacantes podrían obtener acceso a las redes de las víctimas a través de los servidores de Microsoft Exchange y luego usar el parche incompleto. Betty Botham Posibilidad de llegar al controlador de dominio y luego extenderse por la red. Aún no está claro cómo los atacantes obtienen acceso inicial a los servidores de Microsoft Exchange. Según la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de los Estados Unidos (CISA), “los actores cibernéticos están explotando activamente lo siguiente: ProxyShell Debilidades: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Un atacante que aproveche estas vulnerabilidades podría ejecutar código arbitrario en un dispositivo vulnerable. CISA insta encarecidamente a las organizaciones a identificar los sistemas vulnerables en sus redes y aplicar inmediatamente la Actualización de seguridad de Microsoft de mayo de 2021, que aborda las tres vulnerabilidades en ProxyShell, para protegerse contra estos ataques. »
Se dice que los atacantes detrás de este ransomware están usando una nota de rescate con un diseño similar al utilizado por la pandilla de ransomware LockBit y apuntando a la pandilla Conti en la dirección de correo electrónico que están usando, [email protected].
Según el informe, generalmente entre 20 y 30 minutos antes de que se libere el ransomware, los atacantes instalan un conjunto de herramientas en el servidor Exchange comprometido. Éstos incluyen:
* Explotar CVE-2021-36942 (también conocido como PetitPotam). El código parece haber sido copiado de https://github.com/zcgonvh/EfsPotato. Este se encuentra en un archivo llamado «efspotato.exe».
* Dos archivos: active_desktop_render.dll y active_desktop_launcher.exe
Sin embargo, es muy probable que el shellcode cifrado active el archivo efspotato.exe que aprovecha la vulnerabilidad PetitPotam. Fue parcheado en el lanzamiento del martes de parches de agosto de Microsoft, pero más tarde se reveló que la solución publicada no solucionó completamente la vulnerabilidad.
Las empresas que han sido atacadas incluyen empresas de los sectores de fabricación, servicios financieros, ingeniería, legal, servicios empresariales y viajes y turismo.
Microsoft Exchange bajo ataque porque LockFile ransomware apunta a servidores
