LockFile : un nouveau ransomware qui exploite les failles ProxyShell et PetitPotam

En ce moment, un nouveau ransomware avec le nom de LockFile se montre particulièrement actif ! Pour faire des victimes, il s'appuie sur l'exploitation de failles connues : les vulnérabilités ProxyShell qui affectent les serveurs Exchange et la faille PetitPotam qui affecte les autorités de certification Active Directory.

Même si elles sont corrigées depuis plusieurs mois, certains serveurs de messagerie Exchange ne sont pas protégés contre les failles ProxyShell. Les hackers en profitent pour compromettre des serveurs Exchange à distance en injectant un webshell, le tout sans être authentifié, dans le but de prendre le contrôle du domaine Active Directory et de chiffrer les serveurs avec LockFile.

Voici les trois vulnérabilités ProxyShell :

- CVE-2021-34473 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-34523 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-31207 - corrigée en mai avec la mise à jour KB5003435

Lorsque l'attaquant a pris le contrôle du serveur Exchange, il va chercher à exploiter la vulnérabilité PetitPotam pour prendre le contrôle du domaine Active Directory.

Quant au ransomware LockFile, il a été détecté pour la première fois en juillet. Lorsqu'une entreprise en fait les frais, les fichiers sont chiffrés avec l'extension ".lockfile" et le ransomware laisse une note sur le serveur avec un fichier nommé "<nom de la victime>-LOCKFILE-README.hta". Ce fichier affiche une page qui donne des instructions et invite la victime à rentrer en contact avec le hacker pour négocier la rançon. Il s'avère que la mise en forme de cette page est très proche de celle du ransomware LockBit, mais difficile de dire s'il y a réellement un lien entre les deux.

Pour le moment, LockFile semble s'attaquer à des entreprises basées aux États-Unis et en Asie, mais il n'est pas à exclure qu'il s'attaque à l'Europe : il est donc préférable d'anticiper et de patcher vos serveurs. Comme on dit, mieux vaut prévenir que guérir. 😉

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.