LockFile Ransomware Mengeksploitasi Kerentanan ProxyShell

  • Whatsapp
LockFile Ransomware Mengeksploitasi Kerentanan ProxyShell
LockFile Ransomware Mengeksploitasi Kerentanan ProxyShell
LockFile Ransomware Mengeksploitasi Kerentanan ProxyShell di Server Microsoft Exchange

Server pertukaran Microsoft diretas oleh geng ransomware yang sangat baru yang dikenal sebagai LockFile. Menurut pakar keamanan siber, komplotan ransomware ini telah muncul pada Juli 2021.

Namun, motif utama ransomware ini adalah untuk mengenkripsi domain Windows segera setelah meretas ke server Microsoft Exchange, dan ini mereka lakukan dengan bantuan kerentanan ProxyShell yang telah terungkap baru-baru ini.

Seperti yang kami katakan di atas bahwa pelaku ancaman melakukan operasi ini saat menggunakan kerentanan ProxyShell, peretas umumnya melanggar target dengan server Microsoft Exchange lokal yang belum ditambal, dan yang diikuti oleh PetitPotam Relai NTLM menyerang karena merebut seluruh kendali domain.

Kerentanan Ditemukan Sebelumnya

Setelah menyelidiki serangan itu, para ahli Peneliti Keamanan Utama Devcore Orange Tsai telah ditemukan tiga kerentanan, dan kemudian dia menggabungkan semuanya sehingga dia dapat mengambil alih server Microsoft Exchange dalam kompetisi peretasan Pwn2Own 2021 April.

  • CVE-2021-34473 – Kebingungan Jalur Pra-auth mengarah ke ACL Bypass (Ditambal pada bulan April oleh KB5001779)
  • CVE-2021-34523 – Peningkatan Hak Istimewa di Exchange PowerShell Backend (Ditambal pada bulan April oleh KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write mengarah ke RCE (Ditambal pada bulan Mei oleh KB5003435)

Apa yang Kami Ketahui Tentang Ransomware LockFile?

Analis keamanan mencoba yang terbaik untuk mengetahui semua detail penting yang membaca serangan khusus ini. Namun, ada banyak temuan yang belum diungkapkan, tetapi pada bulan Juli para ahli pertama kali mencatat bahwa catatan tebusan itu bernama ‘LOCKFILE-README.hta’ tetapi fakta yang menarik adalah bahwa ia tidak memiliki merek khusus.

Penyerang menggunakan catatan tebusan bermerek yang menyatakan bahwa mereka disebut ‘LockFile. Selain itu, semua catatan tebusan ini menerapkan format penamaan ‘[victim_name]-LOCKFILE-README.hta’ dan kemudian menyarankan korban untuk berkomunikasi dengan mereka melalui Tox atau email jika mereka ingin menegosiasikan uang tebusan.

RansomNote adalah Aplikasi HTML

Para peneliti menyatakan bahwa fungsi pada 0x7f00 awalnya menghasilkan catatan tebusan HTA, seperti, ‘LOCKFILE-README-[hostname]-[id].hta’ di root drive.

Setelah penyelidikan, para ahli mencatat bahwa alih-alih menjatuhkan catatan dalam format TXT, LockFile memformat catatan tebusan sebagai file Aplikasi HTML (HTA). Poin terpenting adalah bahwa catatan tebusan HTA yang digunakan oleh LockFile cocok dengan yang digunakan oleh ransomware LockBit 2.0.

Tambal sekarang!

Setelah mengetahui semua detail, menjadi jelas bahwa geng ransomware ini menggunakan kerentanan Microsoft Exchange ProxyShell dan kerentanan Windows PetitPotam NTLM Relay.

Menurut para peneliti, cukup penting bahwa administrator Windows harus menginstal pembaruan terbaru. Nah dalam kasus kerentanan ProxyShell, pengguna dapat menginstal pembaruan kumulatif Microsoft Exchange paling canggih karena akan membantu menambal kerentanan.

Jenis serangan ransomware ini cukup sulit untuk ditambal, tetapi para ahli menyatakan bahwa mereka mencoba yang terbaik untuk menghindari serangan ini, sesegera mungkin.

Baca Juga: Respons Serangan Ransomware dan Daftar Periksa Mitigasi

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *