Το LockFile Ransomware συμβιβάζει τους διακομιστές του Microsoft Exchange

Τους τελευταίους μήνες, οι εγκληματίες στον κυβερνοχώρο έχουν στοχοποιήσει ενεργά διακομιστές του Microsoft Exchange. Πολλοί δημιουργοί κακόβουλου λογισμικού και χειριστές ransomware κάνουν κατάχρηση πρόσφατων τρωτών σημείων για να αναλάβουν εκμεταλλευόμενους διακομιστές και στη συνέχεια να εγκαταστήσουν τις κακόβουλες εφαρμογές τους σε αυτούς. Ένα από τα πιο πρόσφατα τρωτά σημεία που εκμεταλλεύονται οι απατεώνες είναι το ProxyShell και, δυστυχώς, οι προσπάθειές τους ήταν επιτυχημένες μέχρι στιγμής. Η συμμορία πίσω από το LockFile Ransomware κάνει κατάχρηση αυτών των ευπαθειών για να εκτελέσει το επικίνδυνο κρυπτογράφηση αρχείων Trojan.

Τα τρωτά σημεία του ProxyShell εμφανίστηκαν για πρώτη φορά πριν από μερικούς μήνες και επιδιορθώθηκαν επίσημα από τη Microsoft τον Μάιο. Ωστόσο, υπάρχουν ακόμα πολλοί διακομιστές που δεν έχουν προσαρμοστεί στο Microsoft Exchange και είναι ανοιχτοί στο Διαδίκτυο. Οι εγκληματίες χρησιμοποιούν ειδικά εργαλεία για να σαρώσουν τον Ιστό και να βρουν διακομιστές που τρέχουν τις ξεπερασμένες εκδόσεις που εξακολουθούν να έχουν τα τρωτά σημεία του ProxyShell. Μια άλλη οικογένεια ransomware που θα ακολουθήσει πρόσφατα τους διακομιστές του Microsoft Exchange ήταν το Epsilon Red Ransomware .

Πώς φυτεύεται το LockFile Ransomware;

Μόλις οι επιτιθέμενοι εκμεταλλευτούν έναν διακομιστή Microsoft Exchange με επιτυχία, εγκαθιστούν ένα προηγουμένως άγνωστο κέλυφος ιστού. Τους επιτρέπει να εκτελούν απομακρυσμένες εντολές και να ελέγχουν διάφορες λειτουργίες στα συστήματα που διακυβεύουν. Φυσικά, σε αυτή την περίπτωση, ο πρωταρχικός σκοπός του κελύφους ιστού είναι να εξασφαλίσει την ομαλή εκτέλεση του LockFile Ransomware.

Μόλις το ντουλάπι αρχείων αρχίσει να λειτουργεί, θα κρυπτογραφήσει γρήγορα το περιεχόμενο πολύτιμων αρχείων που είναι αποθηκευμένα στο μηχάνημα. Η απειλή προσθέτει την επέκταση ".lockfile" σε αρχεία που καταστρέφει και επίσης ρίχνει ένα σημείωμα λύτρου για να δώσει οδηγίες στο θύμα. Το μήνυμα περιλαμβάνει συνήθως το όνομα του θύματος-<ΟΝΟΜΑ ΤΟΥ ΘΥΜΑΤΟΣ> -LOCKFILE-README.hta. Το εσωτερικό μήνυμα αποκαλύπτει την κατάσταση στο θύμα και προτείνει μια επιλογή ανάκτησης δεδομένων επί πληρωμή. Οι εγκληματίες φαίνεται να είναι πρόθυμοι να πάρουν τα χρήματα και παραθέτουν δύο σημαντικές προϋποθέσεις:

• Τα θύματα που πληρώνουν σε 24 ώρες θα έχουν έκπτωση 50%.
• Τα θύματα που δεν πληρώνουν εντός 48 ωρών θα διαγραφούν οριστικά τα αρχεία τους.

Δεν είναι σαφές εάν οι επιτιθέμενοι μπλοφάρουν ή όχι. Συμβουλεύουν τα θύματά τους να επικοινωνήσουν μαζί τους μέσω του email contact@contipauper.com ή μέσω του προγράμματος -πελάτη μηνυμάτων Tox. Είναι κακή ιδέα να προσπαθήσουμε να συνεργαστούμε με τους εγκληματίες. Δεν σας δίνουν κανένα λόγο να τους εμπιστευτείτε και θα ήταν πολύ εύκολο να σας εξαπατήσουν με τα χρήματά σας. Τα θύματα του LockFile Ransomware θα πρέπει να χρησιμοποιούν ένα εργαλείο προστασίας από ιούς για να τερματίσουν το κακόβουλο λογισμικό και στη συνέχεια να ανακτήσουν τα αρχεία τους μέσω αντιγράφου ασφαλείας.