LockFile Ransomware compromete servidores Microsoft Exchange

Nos últimos meses, os cibercriminosos têm visado ativamente os servidores Microsoft Exchange. Vários criadores de malware e operadores de ransomware estão abusando de vulnerabilidades recentes para assumir o controle de servidores exploráveis e, em seguida, plantar seus aplicativos maliciosos neles. Uma das vulnerabilidades mais recentes que os criminosos exploram é o ProxyShell e, infelizmente, suas tentativas têm sido bem-sucedidas até agora. A gangue por trás do LockFile Ransomware está abusando dessas vulnerabilidades exatas para executar o perigoso Trojan de criptografia de arquivos.

As vulnerabilidades do ProxyShell surgiram há alguns meses e foram corrigidas oficialmente pela Microsoft em maio. No entanto, ainda existem muitos servidores Microsoft Exchange sem patches abertos para a Internet. Os criminosos estão usando ferramentas especiais para fazer a varredura da Web e encontrar servidores que executam as versões desatualizadas que ainda têm as vulnerabilidades do ProxyShell. Outra família de ransomware que perseguiu os servidores Microsoft Exchange recentemente foi o Epsilon Red Ransomware .

Como o LockFile Ransomware é plantado?

Depois que os invasores exploram um Microsoft Exchange Server com êxito, eles plantam um shell da Web até então desconhecido. Ele permite que eles executem comandos remotos e controlem vários recursos nos sistemas que comprometem. Obviamente, neste caso, o objetivo principal do shell da web é garantir a execução tranquila do LockFile Ransomware.

Assim que o armário de arquivos começar a funcionar, ele criptografará rapidamente o conteúdo de arquivos valiosos armazenados na máquina. A ameaça anexa a extensão '.lockfile' aos arquivos que danifica e também deixa cair uma nota de resgate para fornecer instruções à vítima. A mensagem normalmente inclui o nome da vítima - -LOCKFILE-README.hta. A mensagem interna revela a situação para a vítima e propõe uma opção de recuperação de dados paga. Os criminosos parecem ansiosos para conseguir o dinheiro e listam duas condições importantes:

• Vítimas que pagarem em 24 horas terão 50% de desconto.
• As vítimas que deixarem de pagar em 48 horas terão seus arquivos excluídos permanentemente.

Não está claro se os atacantes estão blefando ou não. Eles aconselham suas vítimas a contatá-los através do e-mail contact@contipauper.com ou através do cliente de mensagens Tox. É uma má ideia tentar cooperar com os criminosos. Eles não lhe dão nenhuma razão para confiar neles, e seria muito fácil para eles roubarem seu dinheiro de você. As vítimas do LockFile Ransomware devem usar uma ferramenta antivírus para encerrar o malware e, em seguida, recuperar seus arquivos por meio de um backup.