Blog

Servidores de Microsoft Exchange estarían siendo comprometidos por LockFile Ransomware

El nuevo grupo de ransomware denominados como LockFile, ha estado aprovechado dos vulnerabilidades críticas recientemente publicadas para mejorar sus posibilidades de comprometer a las redes de las organizaciones que actualmente tengan Microsoft Exchange sin parchear.

La nueva banda de Ransomware ha sido vista explotando una vulnerabilidad conocida como ProxyShell para obtener acceso a los servidores de correo electrónico de Microsoft Exchange, desde donde empieza a moverse hacia las redes internas de las organizaciones, según informes de la firma de seguridad TG Soft y del investigador de ciberseguridad Kevin Beaumont.

Una vez dentro de la red, los operadores de LockFile abusan de un método de ataque conocido como PetitPotam para tomar el control del controlador de dominio de Windows de la empresa y luego desplegar sus payloads de cifrado de archivos en las estaciones de trabajo conectadas, según un informe publicado el viernes por la empresa de seguridad Symantec.

En en blog de Symantec, dicen: «El ransomware LockFile se observó por primera vez en la red de una organización financiera estadounidense el 20 de julio de 2021, y su última actividad se vio tan recientemente como el 20 de agosto«.

Los detalles sobre el ataque PetitPotam y la vulnerabilidad ProxyShell se revelaron a finales de julio y principios de agosto, mostrando una vez más que las bandas de ciberdelincuentes se adaptan rápidamente a las nuevas vulnerabilidades para convertirlas en exploits cuando entran en el dominio público.

Actualmente, los detalles sobre las operaciones del ransomware son todavía escasos. Lo que sí se sabe es que LockFile trata de imitar el estilo visual de las notas de rescate utilizadas por LockBit, una banda de ransomware más conocida que recientemente ha visto un repunte en su uso en el submundo criminal.

IOCs (Indicadores de compromiso) C2:

  • 45.91.83[.]176:47556
  • 209.14.0[.]234:55676
  • 209.14.0[.]234:46613
  • 209.14.0[.]234:30234
  • microsofts[.]net

Recomendaciones de Seguridad

Siga las recomendaciones de mitigación ofrecidas por Microsoft e instale los parches de seguridad disponibles desde:

Más información:

https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad