Artikel top billede

(Foto: 2017 Getty Images / Dave Kotinsky)

Ny ransomware-hackergruppe tvinger sig adgang til Exchange-servere gennem længe kendt sårbarhed

Microsoft havde egentligt patchet disse åbne døre ind i Mivrosoft Exchange-servere, men ProxyShell-sårbarhederne skaber nu ulovlige indgange for en ny ransomware-gruppe.

En ny ramsomare-hackergruppe, som har fået navnet LockFile, er blevet kendt for at kryptere Windows-domæner ved at hacke sig ind på ofrenes Microsoft Exchange-servere gennem en allerede velkendt sårbarhed.

Sårbarheden, som har fået navnet ProxyShell, består egentligt af en kombination af tre Microsoft Exchange-sårbarheder, der når man kobler den sammen, giver indtrængere beføjelser til at køre ondsindet kode på enhederne. Det skriver BleepingComputer.

ProxyShell-sårbarhederne, som egentligt blevet opdaget ved Pwn2Own 2021 hacker-konkurrence tilbage i april i år, var egentligt blevet lappet af Microsoft så sent som i maj. Men nyopdagede tekniske detaljer i sammenkædningen har gjort det muligt for både white-hat og black-hat-hackere at genskabe den potentielle udnyttelsesmulighed.

Derfor scanner trusselsaktører som LockFile lige nu efter Microsoft Exchange-servere, hvori de kan udnytte ProxyShell-sårbarheder. LockFile-hackerne har gennem disse sårbarheder kunne droppe webshells - en digital fjernstyringsmekanisme - i serverne, som har tilladt hackerne at installere og køre kode på serverne fra distancen.

Efter de har fundet vej ind via ProxyShell, bruger LockFile-gruppen en anden sårbarhed - PetitPotam-sårbarheden - til at overtage en domænecontroller og altså dermed Windows-domænet.

Herfra er det let for LockFile-gruppen af implentere ransomware i hele server-netværket.

Hvem er LockFile?

Gruppen, der lige nu huserer i virksomheders og organisationers sårbare Exchange-servere, har fået sit navn efter titlen på en fil, som gruppen i juli sendte til et af sine ofre, som indeholdt en afpresningsmeddelelse.

Filen havde de døbt "LOCKFILE-README.hta".

Når gruppen krypterer ofrenes filer, bliver ".lockfile" desuden tilføjet til filnavnet.

Gruppen fik offeret til at kontakte hackerne via Tox eller e-mail for at forhandle om løsesummen.

LockFile henviser ofrene til contact@contipauper.com - muligvis en reference til conti-ransomwaren, som er observeret første gang i 2020. Netop denne ransomware-type berører alle versioner af Microsoft Windows.

Det er dog uvist om bagmændene bag ProxyShell-angrebene er de samme, som dem, der står bag Conti-angrebene.

Det siger sig selv, at det anbefales kraftigt fra både Microsoft og sikkerhedseksperter at Windows-administratorer opdaterer sine systemer med det samme.

Det gælder både patching af ProxyShell-sårbarhederne og PetitPotam-sårbarhederne.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Få indblik i, hvordan du planlægger, designer og drifter dit datacenter, så det kan følge med virksomhedens vækst, støtter bæredygtighedsindsatsen og lever op til krav om effektiv datahåndtering.

25. februar 2025 | Læs mere


Computerworld Cyber Briefing

Én gang om måneden leverer Computerworld Event et 30 minutters Cyber Briefing, hvor du får overblik over de mest aktuelle angreb, største trusler og tendenser samt giver dig gode råd, der kan implementeres direkte i din it-sikkerhedsafdeling.

03. marts 2025 | Læs mere


Identity Festival 2025

Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management (IAM) kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

05. marts 2025 | Læs mere