LockFile ransomware compromette i server Microsoft Exchange

Negli ultimi mesi, i criminali informatici hanno preso di mira attivamente i server Microsoft Exchange. Diversi creatori di malware e operatori di ransomware stanno abusando delle recenti vulnerabilità per assumere il controllo di server sfruttabili e quindi installarvi le loro app dannose. Una delle ultime vulnerabilità sfruttate dai truffatori è ProxyShell e, purtroppo, finora i loro tentativi hanno avuto successo. La banda dietro il LockFile Ransomware sta abusando di queste esatte vulnerabilità per eseguire il pericoloso Trojan di crittografia dei file.

Le vulnerabilità di ProxyShell sono emerse per la prima volta alcuni mesi fa e sono state ufficialmente corrette da Microsoft a maggio. Tuttavia, ci sono ancora molti server Microsoft Exchange senza patch aperti a Internet. I criminali utilizzano strumenti speciali per scansionare il Web e trovare server che eseguono versioni obsolete che presentano ancora le vulnerabilità di ProxyShell. Un'altra famiglia di ransomware che ha recentemente inseguito i server Microsoft Exchange è stata l' Epsilon Red Ransomware .

Come viene piantato il ransomware LockFile?

Una volta che gli aggressori sfruttano con successo un Microsoft Exchange Server, piantano una web shell precedentemente sconosciuta. Consente loro di eseguire comandi remoti e controllare varie funzionalità sui sistemi che compromettono. Ovviamente, in questo caso, lo scopo principale della web shell è garantire la corretta esecuzione del LockFile Ransomware.

Una volta che il file-locker inizia a funzionare, crittograferà rapidamente il contenuto dei file importanti archiviati sulla macchina. La minaccia aggiunge l'estensione ".lockfile" ai file che danneggia e rilascia anche una richiesta di riscatto per fornire istruzioni alla vittima. Il messaggio in genere include il nome della vittima - -LOCKFILE-README.hta. Il messaggio all'interno rivela la situazione alla vittima e propone un'opzione di recupero dati a pagamento. I criminali sembrano essere ansiosi di ottenere i soldi e elencano due condizioni importanti:

• Le vittime che pagano in 24 ore otterranno uno sconto del 50%.
• Le vittime che non pagano entro 48 ore avranno i loro file cancellati in modo permanente.

Non è chiaro se gli aggressori stiano bluffando o meno. Consigliano alle loro vittime di contattarle tramite l'e-mail contact@contipauper.com o tramite il client di messaggistica Tox. È una cattiva idea cercare di collaborare con i criminali. Non ti danno alcun motivo per fidarti di loro, e sarebbe molto facile per loro truffarti dai tuoi soldi. Le vittime del LockFile Ransomware dovrebbero utilizzare uno strumento antivirus per eliminare il malware e quindi recuperare i propri file tramite un backup.