LockFile olarak bilinen yeni bir Ransomware çetesi, yakın zamanda açıklanan proxyshell güvenlik açıklarını kullanarak Microsoft Exchange sunucularına haclattıktan sonra Windows alanlarını şifreler.
Proxyshell, kabiliyetsiz, uzak kod yürütülmesine neden olan üç zincirli Microsoft Exchange güvenlik açıkından oluşan bir saldırının adıdır.
Üç güvenlik açığı, Nisan ayının PWN2own 2021 hack yarışmasında bir Microsoft Exchange Server'ı ele geçirmek için onları bir araya getiren Devcore Müdürü Güvenlik Araştırmacı Orange Tsai tarafından keşfedildi.
Microsoft, Mayıs 2021'de bu güvenlik açıklarını tam olarak yamalarken, güvenlik araştırmacılarının ve tehdit aktörlerinin istismarını yeniden oluşturmalarını sağlayan daha fazla teknik detaylar açıklanmaktadır.
BleepingComputer tarafından geçen hafta bildirildiği gibi, bu, proxyshell güvenlik açıklarını kullanarak Microsoft Exchange sunucularını aktif olarak taramaya ve hackleme eylemlerini aktif olarak taramaya neden olmuştur.
Bir Exchange sunucusunu sömürdükten sonra, tehdit aktörleri, diğer programları yüklemek ve bunları yürütmek için kullanılabilecek web kabuklarını düşürdü.
O zaman, NCC grubunun güvenlik açığı araştırmacısı zengin Warren, BleepingComputer'a, web kabuklarının, zamanında zararsız bir yükleme yükünü indiren bir .NET arka kapı kurmak için kullanıldığını söyledi.
O zamandan beri, güvenlik araştırmacısı Kevin Beaumont, LockFile olarak bilinen yeni bir Ransomware işleminin Microsoft Exchange Proxyshell'i ve Windows Etki Alanları'ni devralacak ve cihazları şifreleme için Windows PetItpotam güvenlik açıklarını kullandığını bildirdi.
Bir ağı ihlal ederken, tehdit aktörleri önce Proxyshell güvenlik açıklarını kullanarak şirket içi Microsoft Exchange sunucusuna erişecektir. Bir duraklama kazandıktan sonra, Symantec, LockFile Gang'in bir etki alanı denetleyicisini ve dolayısıyla Windows etki alanını üstlenecek petitpotam güvenlik açığını kullandığını söylüyor.
Oradan, fidye yazılımını tüm ağ üzerinden dağıtmak önemsizdir.
Şu anda, yeni LockFile Ransomware işlemi hakkında çok fazla şey yok.
Temmuz ayında ilk görüldüğünde, Ransom Notu 'LockFile-Readme.hta' olarak adlandırıldı, ancak aşağıda gösterildiği gibi belirli bir marka yoktu.
Geçen hafta başlayan BleepingComputer, aşağıda gösterildiği gibi 'lockfile' olarak adlandırıldığını belirten markalı fidye notlarını kullanarak bir fidye yazılım çetesinin raporlarını almaya başladı.
Bu Ransom Notes, '[Victim_Name] -lockfile-readme.hta' naming formatını kullanır ve mağdurun fidye müzakere etmek için TOX veya e-posta yoluyla iletişim kurmasını istedi. İşlem tarafından kullanılan geçerli e-posta adresi, Conti Ransomware işlemine referans gibi görünen, bu Contact@contipauper.com.
Ransom notlarının renk şemaları benzer olsa da, iletişim yöntemleri ve ifadeler aynı işlemdilerse açıkça belirsizliğini yapar.
Özel ilginin, Ransom notlarının renk şemasının ve düzeninin Lockbit Ransomware'ye çok benzer olmasıdır, ancak herhangi bir ilişki görünmüyor.
Dosyaları şifreliyorsa, Ransomware .LOWFile uzantısını şifreli dosyanın adlarına ekler.
Dün öğleden sonra, BleepingComputer ve Ransomware Expert Michael Gillespie, LockFile Temmuz versiyonunu analiz ettiğinde, birçok sistem kaynağını alarak ve bilgisayarın geçici donmalarına neden olan gürültülü bir fidye yazılımı olduğunu gördük.
LockFile işlemi hem Microsoft Exchange Proxyshell güvenlik açıklarını hem de Windows PetItpotam NTLM Röle güvenlik açığını kullandığı için, Windows yöneticilerinin en son güncellemeleri kurması zorunludur.
Proxyshell güvenlik açıkları için, güvenlik açıklarını düzeltmek için en son Microsoft Exchange kümülatif güncellemelerini yükleyebilirsiniz.
Windows Petitpotam saldırısı, Microsoft'un güvenlik güncelleştirmesi eksik olduğundan ve tüm güvenlik açığı vektörlerini düzeltmezken biraz karmaşık hale gelir.
Petitpotam saldırısını düzeltmek için, bu NTLM röle saldırısını engellemek için 0patch'den resmi olmayan bir yama kullanabilirsiniz veya MS-EFSRPC API'seki hassas fonksiyonlara erişimi engelleyen NETSH RPC filtrelerini uygulayın.
Beaumont, Microsoft Exchange sunucunuzun proxyshell güvenlik açığı için tarandığını kontrol etmek için aşağıdaki Azure Sentinel sorgularını gerçekleştirebileceğinizi söylüyor.
Tüm organizasyonların yamaları en kısa sürede uygulamaları ve Exchange sunucularının çevrimdışı yedeklemelerini oluşturmaları şiddetle tavsiye edilir.
LockFile Ransomware, Windows Etki Alanlarını Hijack için PetitPotam saldırısını kullanır
Microsoft Exchange Sunucuları Proxyshell Exploits üzerinden hackleniyor
Microsoft Exchange Sunucuları Proxyshell Güvenlik Açığı için Taranan, Şimdi Yama
Ransomware'deki Hafta - 20 Ağustos 2021 - Pencereleri Kullanma
Yeni Resmi olmayan Windows Yama Düzeltmesi Daha fazla petitpotam saldırı vektörleri
Kaynak: Bleeping Computer