LockFile-Ransomware

LockFile scheint ein neuer Bedrohungsakteur in der Ransomware-Landschaft zu sein. Die Gruppe scheint seit mindestens Juni 2021 aktiv zu sein und hat den Ergebnissen zufolge in einem einzigen Monat ein Aktivitätsniveau von 10 Organisationen erreicht. Die Hacker nutzen zwei verschiedene Gruppen von Sicherheitslücken aus – die als ProxyShell bekannten Exploits von Microsoft Exchange und die PetitPotam-Sicherheitslücken von Windows. Die letzte Nutzlast, die an die kompromittierten Systeme geliefert wird, ist ein neuer Ransomware-Stamm namens LockFile.

Die Analyse älterer LockFile-Beispiele zeigt, dass dies nicht die ausgereifteste Ransomware-Bedrohung auf dem Markt ist. Während ihrer bedrohlichen Aktivitäten entführt die Bedrohung einen erheblichen Teil der Ressourcen des Systems und kann sogar zum Einfrieren führen. An den Namen jeder verschlüsselten Datei wird '.lockfile' als neue Erweiterung angehängt.

Frühere LockFile-Infektionen lieferten eine markenlose Lösegeldforderung mit typischen Zahlungsaufforderungen unter Verwendung der Bitcoin-Kryptowährung. Später änderte die Bande die Lösegeldforderung, um sie als LockFile zu identifizieren. Der Name der Datei mit der Lösegeldforderung lautet '[Opfername]-LOCKFILE-README.hta.' Als Kommunikationskanäle hinterlässt die LockFile-Bande eine TOX-Konto-ID und die E-Mail-Adresse „contact@contipauper.com". Es sei darauf hingewiesen, dass die E-Mail auf die Conti Ransomware- Bande anspielt, während das Farbschema und das Layout des Lösegeldscheins denen von LockBit ähneln. Bisher wurden keine tatsächlichen Beziehungen zu den anderen Gruppen gefunden.

Die Angriffskette

Um einen ersten Halt auf den Zielcomputern zu schaffen, nutzt der LockFile-Bedrohungsakteur die ProxyShell-Schwachstellen CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Diese Gruppe von verketteten Exploits ermöglicht es den Angreifern, eine nicht autorisierte Remote-Codeausführung durchzuführen. Einmal drin, gehen die LockFile-Hacker zum PetitPotam-Exploit über, der ihnen die Möglichkeit bietet, einen Domänencontroller bzw. die Windows-Domäne zu übernehmen.

Die ProxyShell-Schwachstellen wurden von Microsoft bereits im Mai 2021 vollständig gepatcht. Kürzlich enthüllte technische Details haben es jedoch Bedrohungsakteuren ermöglicht, den Exploit zu replizieren. Dennoch sollte die Installation der Patches nicht vernachlässigt werden. Der Umgang mit PetitPotam hingegen ist etwas kniffliger. Der derzeit verfügbare Microsoft-Patch behebt nicht den vollen Umfang der Sicherheitsanfälligkeit. Cybersicherheitsmitarbeiter, die PetitPotam-Angriffe verhindern möchten, müssen möglicherweise inoffizielle Patches verwenden.