LockFile Ransomware compromet les serveurs Microsoft Exchange
Au cours des derniers mois, les cybercriminels ont activement ciblé les serveurs Microsoft Exchange. De nombreux créateurs de logiciels malveillants et opérateurs de ransomwares abusent des vulnérabilités récentes pour s'emparer de serveurs exploitables, puis y implanter leurs applications malveillantes. L'une des dernières vulnérabilités exploitées par les escrocs est ProxyShell et, malheureusement, leurs tentatives ont été couronnées de succès jusqu'à présent. Le gang derrière le LockFile Ransomware abuse de ces vulnérabilités exactes pour exécuter le dangereux cheval de Troie de cryptage de fichiers.
Les vulnérabilités ProxyShell sont apparues pour la première fois il y a quelques mois et elles ont été officiellement corrigées par Microsoft en mai. Cependant, il existe encore de nombreux serveurs Microsoft Exchange non corrigés ouverts sur Internet. Les criminels utilisent des outils spéciaux pour analyser le Web et trouver des serveurs exécutant des versions obsolètes qui présentent toujours les vulnérabilités ProxyShell. Epsilon Red Ransomware est une autre famille de ransomwares à s'attaquer aux serveurs Microsoft Exchange.
Comment le LockFile Ransomware est-il planté ?
Une fois que les attaquants ont réussi à exploiter un serveur Microsoft Exchange, ils installent un shell Web jusqu'alors inconnu. Il leur permet d'exécuter des commandes à distance et de contrôler diverses fonctionnalités sur les systèmes qu'ils compromettent. Bien sûr, dans ce cas, l'objectif principal du shell Web est d'assurer la bonne exécution du LockFile Ransomware.
Une fois que le casier de fichiers se met au travail, il crypte rapidement le contenu des fichiers précieux stockés sur la machine. La menace ajoute l'extension « .lockfile » aux fichiers qu'elle endommage, et elle dépose également une demande de rançon pour fournir des instructions à la victime. Le message comprend généralement le nom de la victime -
- Les victimes qui paient en 24 heures bénéficieront d'une remise de 50 %.
- Les victimes qui ne paient pas dans les 48 heures verront leurs fichiers supprimés définitivement.
Il n'est pas clair si les attaquants bluffent ou non. Ils conseillent à leurs victimes de les contacter via l'email contact@contipauper.com ou via le client de messagerie Tox. C'est une mauvaise idée d'essayer de coopérer avec les criminels. Ils ne vous donnent aucune raison de leur faire confiance, et il leur serait très facile de vous escroquer votre argent. Les victimes du LockFile Ransomware doivent utiliser un outil antivirus pour mettre fin au malware, puis récupérer leurs fichiers via une sauvegarde.