Existe un nuevo grupo de ransomware que está logrando explotar dos vulnerabilidades recientemente reveladas para mejorar sus posibilidades de violar, hacerse cargo y cifrar las redes corporativas.
Según los informes de la firma de seguridad TG Soft , esta nueva banda de ransomware por así llamarlos, “LockFile” está explotando una vulnerabilidad conocida como ProxyShell para obtener acceso a los servidores de correo electrónico de Microsoft Exchange. ProxyShell es un conjunto de vulnerabilidades reveladas por Orange Tsai en BlackHat.
Una vez dentro, los operadores de “LockFile” abusan de un método de ataque conocido como PetitPotam para hacerse cargo del controlador de dominio de Windows de una empresa y luego implementar sus cargas útiles de cifrado de archivos en estaciones de trabajo conectadas, esto según un informe publicado recientemente por la firma de seguridad Symantec.
Los detalles sobre el ataque PetitPotam y la vulnerabilidad ProxyShell se revelaron a fines de julio y principios de agosto, respectivamente, lo que demuestra una vez más que las bandas de delincuentes cibernéticos son bastante rápidas para convertir los exploits en armas cuando ingresan al dominio público.
La empresa Symantec comento que este grupo ya ha atacado al menos a diez organizaciones, con la mayoría de sus víctimas en Estados Unidos y Asia. "El ransomware “LockFile” se observó por primera vez en la red de una organización financiera de EE.UU. el 20 de julio, y su actividad más reciente se registró el 20 de agosto".
Actualmente, los detalles sobre esta operación de ransomware aún son escasos. Lo que se sabe es que “LockFile” está tratando de imitar el estilo visual de las notas de rescate utilizadas por LockBit, una banda de ransomware más conocida que recientemente ha visto un aumento en su uso en el inframundo criminal.
Para evitar que la pandilla LockFile acceda a sus sistemas, se recomienda a las empresas que apliquen parches para las vulnerabilidades PetitPotam y ProxyShell.
Los parches de seguridad de ProxyShell se enviaron con las actualizaciones de seguridad de Windows de mayo y julio: CVE-2021-31207, CVE-2021-34473 y CVE-2021-34523.