Baru ransomware (terbuka di tab baru) operator yang dikenal sebagai LockFile mengenkripsi domain Windows setelah membobol rentan Microsoft Exchange (terbuka di tab baru) server menggunakan eksploitasi ProxyShell yang baru-baru ini diungkapkan.
ProxyShell adalah nama kolektif dari eksploit yang terdiri dari tiga kerentanan berantai di host populer Microsoft surel (terbuka di tab baru) kerentanan server yang memberi penyerang kekuatan eksekusi kode jarak jauh yang tidak diautentikasi.
Sementara Microsoft sepenuhnya menambal kerentanan ini pada Mei 2021, lebih banyak detail teknis dibagikan di Black Hat 2021 yang baru saja selesai oleh keamanan cyber (terbuka di tab baru) peneliti Orange Tsai, yang menemukan kerentanan ProxyShell.
BleepingComputer melaporkan bahwa detail baru yang dibagikan oleh Tsai memungkinkan peneliti keamanan dan pelaku ancaman untuk melakukannya mereproduksi eksploitasi (terbuka di tab baru).
Ransomware di Exchange
Setelah pembicaraan tersebut, peneliti keamanan Kevin Beaumont memperhatikan hal itu aktor ancaman mulai menyelidiki (terbuka di tab baru) honeypot Microsoft Exchange-nya untuk kerentanan ProxyShell sekali lagi.
Peneliti keamanan lainnya, Rich Warren, yang Exchange honeypot-nya juga diperiksa menggunakan vektor serangan baru, memberi tahu BleepingComputer bahwa meskipun muatan awal yang digunakan oleh penyerang di server yang rentan tidak berbahaya, muatan tersebut akan segera diganti dengan sesuatu yang jauh lebih berbahaya, setelah penyerang berhasil masuk ke server yang cukup.
Ketakutannya kini menjadi kenyataan.
Beaumont sekarang laporan (terbuka di tab baru) bahwa operasi ransomware baru yang dikenal sebagai LockFile menggunakan ProxyShell untuk mengkompromikan server Exchange dan kemudian mengeksploitasi Kerentanan Windows PetitPotam (terbuka di tab baru) untuk mengambil alih domain Windows untuk mengenkripsi perangkat.
Pertama kali terlihat pada bulan Juli, BleepingComputer mengatakan sangat sedikit yang diketahui tentang ransomware LockFile saat ini. Bagaimanapun, pakar keamanan mendesak pengguna untuk segera menambal server Exchange mereka dengan menginstal pembaruan kumulatif terbaru.
Melalui BleepingComputer (terbuka di tab baru)
