LockFile Ransomware compromete los servidores de Microsoft Exchange

Durante los últimos meses, los ciberdelincuentes se han dirigido activamente a los servidores de Microsoft Exchange. Múltiples creadores de malware y operadores de ransomware están abusando de vulnerabilidades recientes para hacerse cargo de servidores explotables y luego colocar sus aplicaciones maliciosas en ellos. Una de las últimas vulnerabilidades que explotan los delincuentes es ProxyShell y, desafortunadamente, sus intentos han tenido éxito hasta ahora. La banda detrás de LockFile Ransomware está abusando de estas vulnerabilidades exactas para ejecutar el peligroso troyano de cifrado de archivos.

Las vulnerabilidades de ProxyShell aparecieron por primera vez hace unos meses y Microsoft las reparó oficialmente en mayo. Sin embargo, todavía hay muchos servidores de Microsoft Exchange sin parches que están abiertos a Internet. Los delincuentes están utilizando herramientas especiales para escanear la Web y encontrar servidores que ejecutan versiones obsoletas que aún tienen las vulnerabilidades de ProxyShell. Otra familia de ransomware que persigue a los servidores de Microsoft Exchange recientemente ha sido Epsilon Red Ransomware.

¿Cómo se planta LockFile Ransomware?

Una vez que los atacantes explotan un Microsoft Exchange Server con éxito, instalan un shell web desconocido hasta ahora. Les permite ejecutar comandos remotos y controlar varias funciones en los sistemas que comprometen. Por supuesto, en este caso, el propósito principal del shell web es garantizar la ejecución fluida del LockFile Ransomware.

Una vez que el casillero de archivos se pone a trabajar, encriptará rápidamente el contenido de los archivos valiosos almacenados en la máquina. La amenaza agrega la extensión '.lockfile' a los archivos que daña, y también deja caer una nota de rescate para proporcionar instrucciones a la víctima. El mensaje generalmente incluye el nombre de la víctima: -LOCKFILE-README.hta. El mensaje en el interior revela la situación a la víctima y propone una opción de recuperación de datos pagada. Los delincuentes parecen estar ansiosos por obtener el dinero y enumeran dos condiciones importantes:

• Las víctimas que paguen en 24 horas obtendrán un 50% de descuento.
• A las víctimas que no paguen en un plazo de 48 horas se les eliminarán sus archivos de forma permanente.

No está claro si los atacantes están fanfarroneando o no. Aconsejan a sus víctimas que se pongan en contacto con ellos a través del correo electrónico contact@contipauper.com o mediante el cliente de mensajería Tox. Es una mala idea tratar de cooperar con los criminales. No le dan ninguna razón para confiar en ellos, y sería muy fácil para ellos estafarlo con su dinero. Las víctimas de LockFile Ransomware deben usar una herramienta antivirus para terminar con el malware y luego recuperar sus archivos a través de una copia de seguridad.