El nuevo grupo de ransomware denominados como LockFile, ha estado aprovechado dos vulnerabilidades críticas recientemente publicadas para mejorar sus posibilidades de comprometer a las redes de las organizaciones que actualmente tengan Microsoft Exchange sin parchear.
La nueva banda de Ransomware ha sido vista explotando una vulnerabilidad conocida como ProxyShell para obtener acceso a los servidores de correo electrónico de Microsoft Exchange, desde donde empieza a moverse hacia las redes internas de las organizaciones, según informes de la firma de seguridad TG Soft y del investigador de ciberseguridad Kevin Beaumont.
Una vez dentro de la red, los operadores de LockFile abusan de un método de ataque conocido como PetitPotam para tomar el control del controlador de dominio de Windows de la empresa y luego desplegar sus payloads de cifrado de archivos en las estaciones de trabajo conectadas, según un informe publicado el viernes por la empresa de seguridad Symantec.
En en blog de Symantec, dicen: «El ransomware LockFile se observó por primera vez en la red de una organización financiera estadounidense el 20 de julio de 2021, y su última actividad se vio tan recientemente como el 20 de agosto«.
Los detalles sobre el ataque PetitPotam y la vulnerabilidad ProxyShell se revelaron a finales de julio y principios de agosto, mostrando una vez más que las bandas de ciberdelincuentes se adaptan rápidamente a las nuevas vulnerabilidades para convertirlas en exploits cuando entran en el dominio público.
Actualmente, los detalles sobre las operaciones del ransomware son todavía escasos. Lo que sí se sabe es que LockFile trata de imitar el estilo visual de las notas de rescate utilizadas por LockBit, una banda de ransomware más conocida que recientemente ha visto un repunte en su uso en el submundo criminal.
IOCs (Indicadores de compromiso) C2:
- 45.91.83[.]176:47556
- 209.14.0[.]234:55676
- 209.14.0[.]234:46613
- 209.14.0[.]234:30234
- microsofts[.]net
Recomendaciones de Seguridad
Siga las recomendaciones de mitigación ofrecidas por Microsoft e instale los parches de seguridad disponibles desde:
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31207
Más información:
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
