Недавно выявленная кибер-группировка LockFile атакует домены Windows. Для проникновения в корпоративные сети злоумышленники эксплуатирует уязвимости PowerShell Microsoft Exchange, а далее атакуют контроллеры доменов, эксплуатируя уязвимость PetitPotam.

ProxyShell – это три уязвимости, обнаруженные исследователем безопасности компании Devcore Оранжем Цаем, который использовал их для взлома сервера Microsoft Exchange на соревнованиях Pwn2Own в апреле 2021 года: обход списка обхода доступа (CVE-2021-34473), повышение привилегий в Exchange PowerShell Backend (CVE-2021-34523), удаленное выполнение кода (CVE-2021-31207).

Как сообщил исследователь безопасности Кевин Бомон, операторы нового вредоноса-шифровальщика начали эксплуатировать уязвимости ProxyShell и PetitPotam для взлома доменов Windows с целью дальнейшего шифрования устройств в сети.

Взломав сеть, хакеры получают доступ к локальным серверам Microsoft Exchange через уязвимости ProxyShell. Укрепившись в сети, они эксплуатируют уязвимость PetitPotam для захвата контроля над контроллером домена и, соответственно, доменом Windows. Далее злоумышленники развертывают во всей сети вымогательское ПО, сообщили эксперты ИБ-компании Symantec.

В настоящее время о кибервымогательской группировке LockFile известно мало. Впервые вымогатель был зафиксирован в июле 2021 года. На атакованных системах он оставлял записку с требованием выкупа в файле LOCKFILE-README.hta. Однако, неделю назад, стали появляться сообщения о вымогателе под названием LockFile. В процессе шифрования файлов вымогатель добавляет к имени файла расширение .lockfile.

И хотя для закрытия уязвимостей ProxyShell патчи вышли еще в апреле-мае 2021 года, проблема все еще остается крайне актуальной. Для защиты информации ИБ-эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления безопасности.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бэкапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщиков.