LockFile Ransomware

LockFile semble être un nouvel acteur de menace dans le paysage des ransomwares. Le groupe semble être actif depuis au moins juin 2021 et, selon les conclusions, a atteint un niveau d'activité de ciblage de 10 organisations en un seul mois. Les pirates exploitent deux groupes différents de vulnérabilités - les exploits Microsoft Exchange connus sous le nom de ProxyShell et les vulnérabilités Windows PetitPotam. La charge utile finale livrée aux systèmes compromis est une nouvelle souche de ransomware nommée LockFile.

L'analyse d'anciens échantillons de LockFile montre qu'il ne s'agit pas de la menace de ransomware la plus sophistiquée. Au cours de ses activités menaçantes, la menace détourne une partie importante des ressources du système et peut même provoquer des blocages. Le nom de chaque fichier crypté est ajouté avec '.lockfile' comme nouvelle extension.

Les infections antérieures à LockFile livraient une demande de rançon sans marque avec des demandes de paiement typiques à l'aide de la crypto-monnaie Bitcoin. Plus tard, le gang a modifié la demande de rançon pour les identifier comme LockFile. Le nom du fichier contenant le message de demande de rançon est '[victim_name]-LOCKFILE-README.hta.' Comme canaux de communication, le gang LockFile laisse un identifiant de compte TOX et l'adresse e-mail 'contact@contipauper.com'. Il convient de noter que l'e-mail fait allusion au gang Conti Ransomware tandis que la palette de couleurs et la disposition de la note de rançon sont similaires à celles utilisées par LockBit. Jusqu'à présent, aucune relation réelle avec les autres groupes n'a été trouvée.

La chaîne d'attaque

Pour établir une première position sur les ordinateurs ciblés, l'acteur de la menace LockFile exploite les vulnérabilités ProxyShell, CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Cet ensemble d'exploits enchaînés permet aux attaquants d'établir une exécution de code à distance non autorisée. Une fois à l'intérieur, les pirates LockFile passent à l'exploit PetitPotam, qui leur donne les moyens de s'emparer d'un contrôleur de domaine, et respectivement du domaine Windows.

Les vulnérabilités ProxyShell ont été entièrement corrigées par Microsoft en mai 2021. Cependant, des détails techniques récemment dévoilés ont permis aux acteurs malveillants de reproduire l'exploit. Néanmoins, l'installation des correctifs ne doit pas être négligée. Traiter avec PetitPotam, en revanche, est un peu plus délicat. Le correctif Microsoft actuellement disponible ne traite pas toute la portée de la vulnérabilité. Les agents de cybersécurité qui cherchent à empêcher les attaques PetitPotam peuvent avoir besoin de se tourner vers des correctifs non officiels.