LockFile Ransomware

LockFile parece ser un nuevo actor de amenazas en el panorama del ransomware. El grupo parece haber estado activo desde al menos junio de 2021 y, según los hallazgos, ha alcanzado un nivel de actividad dirigido a 10 organizaciones en un solo mes. Los piratas informáticos explotan dos grupos diferentes de vulnerabilidades: las vulnerabilidades de Microsoft Exchange conocidas como ProxyShell y las vulnerabilidades de Windows PetitPotam. La carga útil final entregada a los sistemas comprometidos es una nueva cepa de ransomware llamada LockFile.

El análisis de muestras antiguas de LockFile muestra que no es la amenaza de ransomware más sofisticada que existe. Durante sus actividades amenazadoras, la amenaza secuestra una parte significativa de los recursos del sistema e incluso puede provocar bloqueos. El nombre de cada archivo cifrado se agrega con '.lockfile' como una nueva extensión.

Las infecciones anteriores de LockFile entregaron una nota de rescate sin marca con demandas típicas de pago utilizando la criptomoneda Bitcoin. Más tarde, la pandilla modificó la nota de rescate para identificarlos como LockFile. El nombre del archivo que contiene el mensaje de demanda de rescate es '[nombre_víctima] -LOCKFILE-README.hta. Como canales de comunicación, la pandilla LockFile deja un ID de cuenta TOX y la dirección de correo electrónico 'contact@contipauper.com'. Cabe señalar que el correo electrónico alude a la pandilla Conti Ransomware, mientras que el esquema de color y el diseño de la nota de rescate son similares a los utilizados por LockBit. Hasta ahora, no se han encontrado relaciones reales con los otros grupos.

La cadena de ataque

Para establecer un punto de apoyo inicial en las computadoras objetivo, el actor de amenazas LockFile aprovecha las vulnerabilidades de ProxyShell, CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Este conjunto de exploits encadenados permite a los atacantes establecer una ejecución remota de código no autorizada. Una vez dentro, los piratas informáticos de LockFile pasan al exploit PetitPotam, que les proporciona los medios para hacerse cargo de un controlador de dominio y, respectivamente, del dominio de Windows.

Microsoft reparó por completo las vulnerabilidades de ProxyShell en mayo de 2021. Sin embargo, los detalles técnicos revelados recientemente han hecho posible que los actores de amenazas replican el exploit. Aún así, no se debe descuidar la instalación de los parches. Tratar con PetitPotam, por otro lado, es un poco más complicado. El parche de Microsoft disponible actualmente no aborda el alcance completo de la vulnerabilidad. Es posible que los agentes de ciberseguridad que buscan prevenir ataques de PetitPotam deban recurrir a parches no oficiales.