LockFileランサムウェア

LockFileは、ランサムウェアの世界における新たな脅威アクターのようです。このグループは少なくとも2021年6月から活動しているようであり、調査結果によると、1か月で10の組織を対象とする活動レベルに達しています。ハッカーは、ProxyShellと呼ばれるMicrosoftExchangeの脆弱性とWindowsPetitPotamの脆弱性という2つの異なるグループの脆弱性を悪用します。侵害されたシステムに配信される最終的なペイロードは、LockFileという名前の新しいランサムウェアです。

古いLockFileサンプルの分析は、それが世の中で最も洗練されたランサムウェアの脅威ではないことを示しています。脅威の活動中に、脅威はシステムのリソースのかなりの部分を乗っ取り、フリーズを引き起こすことさえあります。暗号化された各ファイルの名前には、新しい拡張子として「.lockfile」が追加されます。

以前のLockFile感染は、ビットコイン暗号通貨を使用した支払いの典型的な要求を伴う、ブランド化されていない身代金メモを提供しました。その後、ギャングは身代金メモを変更して、LockFileとして識別しました。身代金を要求するメッセージを含むファイルの名前は「[victim_name] -LOCKFILE-README.hta」です。 LockFileギャングは、通信チャネルとして、TOXアカウントIDと「contact@contipauper.com」の電子メールアドレスを残します。これは、に電子メール暗示ことに留意すべきであるConti Ransomware身代金ノートの配色とレイアウトがロックビットで使用されるものに似ていながら、ギャング。これまでのところ、他のグループとの実際の関係は見つかっていません。

アタックチェーン

LockFile脅威アクターは、標的となるコンピューターに最初の足掛かりを確立するために、ProxyShellの脆弱性であるCVE-2021-34473、CVE-2021-34523、およびCVE-2021-31207を利用します。この連鎖エクスプロイトのセットにより、攻撃者は不正なリモートコード実行を確立できます。中に入ると、LockFileハッカーはPetitPotamエクスプロイトに移動します。これにより、ドメインコントローラーとそれぞれWindowsドメインを乗っ取る手段が提供されます。

ProxyShellの脆弱性は、2021年5月にMicrosoftによって完全にパッチが適用されました。ただし、最近発表された技術的な詳細により、脅威アクターがエクスプロイトを複製できるようになりました。それでも、パッチのインストールを怠ってはなりません。一方、PetitPotamの扱いは少し注意が必要です。現在利用可能なMicrosoftパッチは、脆弱性の全範囲に対応していません。 PetitPotam攻撃を防止しようとしているサイバーセキュリティ工作員は、非公式パッチに目を向ける必要があるかもしれません。