CodePre.com

Free Online Tutorials
Home Tutorials Nuevo ransomware LockFile que cifra servidores de Microsoft Exchange

Nuevo ransomware LockFile que cifra servidores de Microsoft Exchange

Contenido

Los investigadores de seguridad han encontrado un nuevo ransomware, conocido como LockFile, que se dirige a organizaciones con vulnerabilidades de ProxyShell. Los actores de amenazas están utilizando los detalles técnicos para explotar las vulnerabilidades ‘ProxyShell’ y ‘PetitPotam’ y obtener acceso al controlador de dominio (DC) y luego a toda la red empresarial. Según el investigador de seguridad. kevin beaumont estas vulnerabilidades son peores que ProxyLogon, que se considera una de las vulnerabilidades más graves encontradas en la historia de MS Exchange.

¿Qué es el ransomware LockFile?

LockFile es una nueva variante de ransomware que se detectó por primera vez el 20 de julio de 2021 cuando se produjo un ataque a una organización con sede en EE. UU. Los ataques posteriores a al menos diez organizaciones más fueron seguidos hasta el 20 de agosto. Aunque los actores de amenazas detrás de LockFile están apuntando a servidores Exchange vulnerables en todo el mundo, la mayoría de sus víctimas son de los Estados Unidos y Asia. Según Symantec (parte de Broadcom Inc), LockFile ha afectado a las organizaciones en varios sectores, como servicios financieros, fabricación, servicios comerciales, legal, viajes, ingeniería, turismo, etc.

La nota de rescate del ransomware LockFile es similar a la nota diseñada por el grupo de amenazas LockBit. También se refiere al grupo Conti en el correo electrónico que utilizan.

Figura 1: Nota de rescate utilizada por LockFile Ransomware

¿Cómo afecta LockFile Ransomware a las organizaciones?

Los actores de amenazas detrás del ransomware LockFile acceden al servidor de Exchange local mediante el error ProxyShell y luego utilizan la vulnerabilidad PetitPotam para acceder al controlador de dominio. La vulnerabilidad de PetitPotam fue parcheada parcialmente por Microsoft la semana pasada. Una vez que se establece el acceso al controlador de dominio de las organizaciones, instalan herramientas en el controlador de dominio, como:

  • Explotación para CVE-2021-36942 (PetitPotam)
  • Dos archivos: active_desktop_launcher.exe y active_desktop_render.dll que encripta los sistemas y dispositivos en la red

Una vez que los actores de amenazas están en su red y controlan el controlador de dominio, implementan el ransomware LockFile y algunos archivos por lotes y ejecutables en el controlador de dominio.

De acuerdo a Symantec “Los archivos se copian en el ‘ sysvoldominioscripts ‘, que se usa para implementar scripts en clientes de red cuando se autentican en el controlador de dominio. Esto significa que cualquier cliente que se autentique en el dominio después de copiar estos archivos los ejecutará”.

Actualizar : Los actores de amenazas detrás del ransomware LockFile ahora están aprovechando una nueva técnica llamada cifrado intermitente para acelerar el proceso de cifrado de datos. Esta técnica fue utilizada anteriormente por ransomware, como DarkSide, LickBit 2.0 y BlackMatter. En lugar de cifrar los primeros bloques, el ransomware LockFile cifra cada 16 bytes del archivo. Esto hace que el archivo o los datos sean parcialmente legibles, lo que puede engañar al software para que no detecte el ransomware.

¿Cómo proteger su organización de LockFile Ransomware?

Las organizaciones que utilizan los servicios de certificados de Active Directory (AD CS) con los siguientes servicios son potencialmente vulnerables al ataque de PetitPotam.

  • Inscripción web de la autoridad de certificación
  • Servicio web de inscripción de certificados

Sin embargo, Microsoft tiene métodos compartidos para mitigar el ataque de PetitPotam. Después de mitigar los riesgos, siga estos pasos para parchear su Exchange Server y proteger su organización contra LockFile y otros ataques maliciosos.

Paso 1: Ejecute la secuencia de comandos del Comprobador de estado de Exchange Server

Descargue el script del verificador de estado de Exchange Server o Comprobador de salud.ps1 desde GitHub y ejecútelo en su Exchange Server 2013, 2016 o 2019. Los pasos son los siguientes:

  • Abra Exchange Management Shell (EMS) y vaya a la ubicación de la carpeta donde se descargó el script HealthChecker.ps1.
  • Luego ejecute el siguiente comando para ejecutar el script en el servidor,
    .HealthChecker.ps1
  • También puede ejecutar el script para un servidor específico utilizando el parámetro -Server.

.HealthChecker.ps1 -Servidor Exch01

  • Si el resultado es un error y la secuencia de comandos no se ejecuta, ejecute el siguiente comando en EMS y luego ejecute la secuencia de comandos HealthChecker.ps1.

Set-ExecutionPolicy -Alcance Proceso -ExecutionPolicy Bypass

Si la secuencia de comandos muestra las vulnerabilidades, debe parchearlas descargando e instalando las actualizaciones publicadas por Microsoft. También puede investigar más a fondo y mitigar los riesgos utilizando la herramienta EOMT.

Paso 2: Ejecutar EOMT

EOMT es una herramienta de mitigación local de Exchange con un solo clic lanzada por Microsoft. Los pasos para utilizar la herramienta EOMT son los siguientes:

  • Descargar el EOMT.ps1 en su sistema y luego abra EMS.
  • En la ventana EMS, navegue hasta la ubicación EOMT.ps1 y luego ejecute el siguiente comando:
    .EOMT.ps1
  • La herramienta ejecuta MSERT o Microsoft Safety Scanner en modo Quick Scan para encontrar y eliminar amenazas y shells web instalados por actores de amenazas.

Paso 3: Descargue e instale las actualizaciones del servidor de Exchange

Ahora puede descargar e instalar las actualizaciones de Exchange Server para parchear ProxyShell y otras vulnerabilidades y proteger sus servidores de amenazas. Para obtener detalles sobre las actualizaciones de seguridad y la instalación de Exchange Server, consulte nuestro blog sobre fallas de vulnerabilidad de ejecución remota de código de Microsoft Exchange y sus correcciones.

Para concluir

El grupo de ransomware LockFile aprovechó una vulnerabilidad que Microsoft parchó parcialmente en mayo de este año. Sin embargo, según el investigador de seguridad Kevin Beaumont, decenas de miles de servidores Exchange no están parcheados y son vulnerables a los ataques ProxyLogon y ProxyShell. La mejor defensa es habilitar las actualizaciones automáticas e instalar las últimas actualizaciones de seguridad de Exchange Server lanzadas a partir de marzo de 2021. Sin embargo, si su servidor está comprometido o se bloquea debido a ataques maliciosos, puede usar la copia de seguridad para restaurar los buzones en un nuevo servidor. Como alternativa, puede usar un software de recuperación de Exchange, como Stellar Repair for Exchange, para recuperar buzones de correo de bases de datos inaccesibles (cuando las copias de seguridad no están disponibles o son obsoletas).

Related Posts

Enter el comando dado

Cómo ver las contraseñas wifi guardadas en Android en 2023 (5 mejores métodos)

De hecho, Android ofrece a los usuarios más funciones que cualquier otro sistema operativo móvil. Pero, al mismo tiempo, echa…
Indicaciones de IA

Cómo usar las indicaciones de ChatGPT y AI en Opera Navegador (Acceso anticipado)

Hay varias razones para ello Opera Browser está perdiendo la carrera para convertirse en el mejor navegador web; alta competencia,…
Ocultando la historia de Instagram usuario

Cómo ocultar/archivar su Instagram Publicaciones e historias

¿Alguna vez has sentido “¿Por qué publiqué esto?” mirando a tu viejo Instagram publicaciones? ¿Quieres revisar tu antigua historia que…
Control múltiple de Samsung

Cómo usar el control múltiple de Samsung

Aprender a usar Samsung Multi Control es útil para aquellos que poseen las últimas computadoras portátiles y teléfonos inteligentes de…
Calendario de marcado

7 consejos rápidos para limpiar tu dormitorio en 10 minutos

Cómo limpiar tu dormitorio en 10 minutos parece una tarea imposible. Todos vamos contra reloj, especialmente cuando se trata de…
caja de arena para gatos

11 cosas que nunca debes tirar al montón de compost

Ya sea que se trate de nuestros restos de comida o desechos del jardín, el compostaje es una excelente manera…
Cómo personalizar el menú, el puntero y el sonido del S Pen en S22/S23 Ultra

Cómo personalizar el estilo, el puntero y el sonido del S Pen

¿Quieres cambiar el S Pen Air Command, el puntero y el sonido de tu Galaxy S23/S22 Ultra o Galaxy Tab…
Verificar la integridad de los archivos del juego..

Cómo acceder a la prueba limitada de Counter-Strike 2

Counter-Strike siempre tuvo un punto dulce en los corazones de los jugadores. El juego se lanzó allá por el año…
Consíguelos a todos

Las 10 mejores aplicaciones de Android para descargar música en 2023

Se dice que la música tiene el poder de curar nuestras mentes. No importa cuán estresante sea la situación; la…
Póngase en contacto con el equipo de soporte de ChatGPT

Cómo reparar el error de red de ChatGPT (8 métodos)

ChatGPT se ha mantenido constantemente en la tendencia durante los últimos meses. Es un chatbot de IA que les encanta…