Ny ransomware-hackergruppe tvinger sig adgang til Exchange-servere gennem længe kendt sårbarhed

Microsoft havde egentligt patchet disse åbne døre ind i Mivrosoft Exchange-servere, men ProxyShell-sårbarhederne skaber nu ulovlige indgange for en ny ransomware-gruppe.

Artikel top billede

(Foto: 2017 Getty Images / Dave Kotinsky)

En ny ramsomare-hackergruppe, som har fået navnet LockFile, er blevet kendt for at kryptere Windows-domæner ved at hacke sig ind på ofrenes Microsoft Exchange-servere gennem en allerede velkendt sårbarhed.

Sårbarheden, som har fået navnet ProxyShell, består egentligt af en kombination af tre Microsoft Exchange-sårbarheder, der når man kobler den sammen, giver indtrængere beføjelser til at køre ondsindet kode på enhederne. Det skriver BleepingComputer.

ProxyShell-sårbarhederne, som egentligt blevet opdaget ved Pwn2Own 2021 hacker-konkurrence tilbage i april i år, var egentligt blevet lappet af Microsoft så sent som i maj. Men nyopdagede tekniske detaljer i sammenkædningen har gjort det muligt for både white-hat og black-hat-hackere at genskabe den potentielle udnyttelsesmulighed.

Derfor scanner trusselsaktører som LockFile lige nu efter Microsoft Exchange-servere, hvori de kan udnytte ProxyShell-sårbarheder. LockFile-hackerne har gennem disse sårbarheder kunne droppe webshells - en digital fjernstyringsmekanisme - i serverne, som har tilladt hackerne at installere og køre kode på serverne fra distancen.

Efter de har fundet vej ind via ProxyShell, bruger LockFile-gruppen en anden sårbarhed - PetitPotam-sårbarheden - til at overtage en domænecontroller og altså dermed Windows-domænet.

Herfra er det let for LockFile-gruppen af implentere ransomware i hele server-netværket.

Hvem er LockFile?

Gruppen, der lige nu huserer i virksomheders og organisationers sårbare Exchange-servere, har fået sit navn efter titlen på en fil, som gruppen i juli sendte til et af sine ofre, som indeholdt en afpresningsmeddelelse.

Filen havde de døbt "LOCKFILE-README.hta".

Når gruppen krypterer ofrenes filer, bliver ".lockfile" desuden tilføjet til filnavnet.

Gruppen fik offeret til at kontakte hackerne via Tox eller e-mail for at forhandle om løsesummen.

LockFile henviser ofrene til contact@contipauper.com - muligvis en reference til conti-ransomwaren, som er observeret første gang i 2020. Netop denne ransomware-type berører alle versioner af Microsoft Windows.

Det er dog uvist om bagmændene bag ProxyShell-angrebene er de samme, som dem, der står bag Conti-angrebene.

Det siger sig selv, at det anbefales kraftigt fra både Microsoft og sikkerhedseksperter at Windows-administratorer opdaterer sine systemer med det samme.

Det gælder både patching af ProxyShell-sårbarhederne og PetitPotam-sårbarhederne.

Læses lige nu

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect