La banda de ransomware LockFile "weaponiza" #ProxyShell y #PetitPotam
Un nuevo grupo de ransomware está logrando explotar dos vulnerabilidades recientemente reveladas para mejorar sus posibilidades de violar, hacerse cargo y cifrar las redes corporativas.
Según informes de la firma de seguridad TG Soft y el investigador de seguridad Kevin Beaumont, la nueva banda de ransomware LockFile está explotando una vulnerabilidad conocida como ProxyShell para obtener acceso a los servidores de correo electrónico de Microsoft Exchange. ProxyShell es un conjunto de vulnerabilidades reveladas por Orange Tsai en BlackHat.
Una vez dentro, los operadores de LockFile abusan de un método de ataque conocido como PetitPotam para hacerse cargo del controlador de dominio de Windows de una empresa y luego implementar sus cargas útiles de cifrado de archivos en estaciones de trabajo conectadas, según un informe publicado el viernes por la firma de seguridad Symantec.
Los detalles sobre el ataque PetitPotam y la vulnerabilidad ProxyShell se revelaron a fines de julio y principios de agosto, respectivamente, lo que demuestra una vez más que las bandas de delincuentes cibernéticos son bastante rápidas para convertir los exploits en armas cuando ingresan al dominio público.
Symantec dijo que el grupo ya ha atacado al menos a diez organizaciones, con la mayoría de sus víctimas en Estados Unidos y Asia. "El ransomware LockFile se observó por primera vez en la red de una organización financiera de EE.UU. el 20 de julio, y su actividad más reciente se registró el 20 de agosto", dijo la compañía la semana pasada.
Actualmente, los detalles sobre esta operación de ransomware aún son escasos. Lo que se sabe es que LockFile está tratando de imitar el estilo visual de las notas de rescate utilizadas por LockBit, una banda de ransomware más conocida que recientemente ha visto un aumento en su uso en el inframundo criminal.
Para evitar que la pandilla LockFile acceda a sus sistemas, se recomienda a las empresas que apliquen parches para las vulnerabilidades PetitPotam y ProxyShell.
- Los parches y mitigaciones de PetitPotam se detallan aquí.
- Los parches de seguridad de ProxyShell se enviaron con las actualizaciones de seguridad de Windows de mayo y julio: CVE-2021-31207, CVE-2021-34473 y CVE-2021-34523).
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!