Ny ransomware-hackergruppe tvinger sig adgang til Exchange-servere gennem længe kendt sårbarhed

Microsoft havde egentligt patchet disse åbne døre ind i Mivrosoft Exchange-servere, men ProxyShell-sårbarhederne skaber nu ulovlige indgange for en ny ransomware-gruppe.

Artikel top billede

(Foto: 2017 Getty Images / Dave Kotinsky)

En ny ramsomare-hackergruppe, som har fået navnet LockFile, er blevet kendt for at kryptere Windows-domæner ved at hacke sig ind på ofrenes Microsoft Exchange-servere gennem en allerede velkendt sårbarhed.

Sårbarheden, som har fået navnet ProxyShell, består egentligt af en kombination af tre Microsoft Exchange-sårbarheder, der når man kobler den sammen, giver indtrængere beføjelser til at køre ondsindet kode på enhederne. Det skriver BleepingComputer.

ProxyShell-sårbarhederne, som egentligt blevet opdaget ved Pwn2Own 2021 hacker-konkurrence tilbage i april i år, var egentligt blevet lappet af Microsoft så sent som i maj. Men nyopdagede tekniske detaljer i sammenkædningen har gjort det muligt for både white-hat og black-hat-hackere at genskabe den potentielle udnyttelsesmulighed.

Derfor scanner trusselsaktører som LockFile lige nu efter Microsoft Exchange-servere, hvori de kan udnytte ProxyShell-sårbarheder. LockFile-hackerne har gennem disse sårbarheder kunne droppe webshells - en digital fjernstyringsmekanisme - i serverne, som har tilladt hackerne at installere og køre kode på serverne fra distancen.

Efter de har fundet vej ind via ProxyShell, bruger LockFile-gruppen en anden sårbarhed - PetitPotam-sårbarheden - til at overtage en domænecontroller og altså dermed Windows-domænet.

Herfra er det let for LockFile-gruppen af implentere ransomware i hele server-netværket.

Hvem er LockFile?

Gruppen, der lige nu huserer i virksomheders og organisationers sårbare Exchange-servere, har fået sit navn efter titlen på en fil, som gruppen i juli sendte til et af sine ofre, som indeholdt en afpresningsmeddelelse.

Filen havde de døbt "LOCKFILE-README.hta".

Når gruppen krypterer ofrenes filer, bliver ".lockfile" desuden tilføjet til filnavnet.

Gruppen fik offeret til at kontakte hackerne via Tox eller e-mail for at forhandle om løsesummen.

LockFile henviser ofrene til contact@contipauper.com - muligvis en reference til conti-ransomwaren, som er observeret første gang i 2020. Netop denne ransomware-type berører alle versioner af Microsoft Windows.

Det er dog uvist om bagmændene bag ProxyShell-angrebene er de samme, som dem, der står bag Conti-angrebene.

Det siger sig selv, at det anbefales kraftigt fra både Microsoft og sikkerhedseksperter at Windows-administratorer opdaterer sine systemer med det samme.

Det gælder både patching af ProxyShell-sårbarhederne og PetitPotam-sårbarhederne.

Annonceindlæg fra Netic

Open Source skal give det offentlige kontrollen tilbage

Digital suverænitet er rykket højt op på den offentlige sektors agenda.

Jyske Bank

Softwareudvikler - .NET/Cloud

Midtjylland

Capgemini Danmark A/S

AI/Data Engineer

Københavnsområdet

Danoffice IT

Head of Business Enablement

Københavnsområdet

Navnenyt fra it-Danmark

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job
Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

Alexander Hoffmann

GlobalConnect