LockFileランサムウェアがサーバーを標的としているためMicrosoftExchangeが攻撃を受けている

セキュリティ研究者は、米国とアジアのMicrosoftExchangeサーバーを攻撃するために以前に使用されたものと同じように見えるLockFileと呼ばれる新しいランサムウェアファミリを発見したと主張しています。 ノートンライフロックによると、これまでに見られなかったランサムウェアは、進行中のキャンペーンで少なくとも10社に打撃を与えました。 これらのターゲットは業界を超えています。
LockFileランサムウェアは、2021年7月20日に米国の金融機関のネットワークで最初に観察され、最新の活動は8月20日までに見られました。
新しい攻撃のしくみ
ノートンライフロックによると、攻撃者がMicrosoft Exchange Serverを介して被害者のネットワークにアクセスし、パッチが不完全なPetitPotamの脆弱性を使用してドメインコントローラにアクセスし、ネットワーク全体に拡散する兆候があります。 これまでのところ、攻撃者がMicrosoft ExchangeServerに最初にアクセスする方法は明らかではありません。 米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA）によると、「悪意のあるサイバー攻撃者は、ProxyShellの脆弱性を積極的に悪用しています：CVE-2021-34473、CVE-2021-34523、およびCVE-2021-31207。これらの脆弱性を悪用する攻撃者は、実行する可能性があります。脆弱なマシン上の任意のコード。CISAは、ネットワーク上の脆弱なシステムを特定し、2021年5月からMicrosoftのセキュリティアップデートを直ちに適用して、これらの攻撃から保護することを強く求めています。」
このランサムウェアの背後にいる攻撃者は、LockBitランサムウェアギャングが使用するものと同様のデザインの身代金メモを使用し、使用する電子メールアドレス[email protected]でContiギャングを参照していると言われています。
レポートによると、通常、ランサムウェアを展開する約20〜30分前に、攻撃者は侵害されたExchangeServerに一連のツールをインストールします。 これらには以下が含まれます：
* CVE-2021-36942脆弱性（別名PetitPotam）のエクスプロイト。 コードはhttps://github.com/zcgonvh/EfsPotatoからコピーされたようです。 これは「efspotato.exe」というファイルにあります。
* 2つのファイル：active_desktop_render.dllとactive_desktop_launcher.exe
ただし、暗号化されたシェルコードは、PetitPotamの脆弱性を悪用するefspotato.exeファイルをアクティブ化する可能性が非常に高いです。 Microsoftの8月のパッチ火曜日のリリースでパッチが適用されましたが、その後、リリースされた修正が脆弱性に完全にパッチを当てていないことが明らかになりました。
攻撃された企業には、製造、金融サービス、エンジニアリング、法務、ビジネスサービス、旅行および観光セクターの企業が含まれます。