LockFile : un nouveau ransomware qui exploite les failles ProxyShell et PetitPotam
En ce moment, un nouveau ransomware avec le nom de LockFile se montre particulièrement actif ! Pour faire des victimes, il s'appuie sur l'exploitation de failles connues : les vulnérabilités ProxyShell qui affectent les serveurs Exchange et la faille PetitPotam qui affecte les autorités de certification Active Directory.
Même si elles sont corrigées depuis plusieurs mois, certains serveurs de messagerie Exchange ne sont pas protégés contre les failles ProxyShell. Les hackers en profitent pour compromettre des serveurs Exchange à distance en injectant un webshell, le tout sans être authentifié, dans le but de prendre le contrôle du domaine Active Directory et de chiffrer les serveurs avec LockFile.
Voici les trois vulnérabilités ProxyShell :
- CVE-2021-34473 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-34523 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-31207 - corrigée en mai avec la mise à jour KB5003435
Lorsque l'attaquant a pris le contrôle du serveur Exchange, il va chercher à exploiter la vulnérabilité PetitPotam pour prendre le contrôle du domaine Active Directory.
Quant au ransomware LockFile, il a été détecté pour la première fois en juillet. Lorsqu'une entreprise en fait les frais, les fichiers sont chiffrés avec l'extension ".lockfile" et le ransomware laisse une note sur le serveur avec un fichier nommé "<nom de la victime>-LOCKFILE-README.hta". Ce fichier affiche une page qui donne des instructions et invite la victime à rentrer en contact avec le hacker pour négocier la rançon. Il s'avère que la mise en forme de cette page est très proche de celle du ransomware LockBit, mais difficile de dire s'il y a réellement un lien entre les deux.
Pour le moment, LockFile semble s'attaquer à des entreprises basées aux États-Unis et en Asie, mais il n'est pas à exclure qu'il s'attaque à l'Europe : il est donc préférable d'anticiper et de patcher vos serveurs. Comme on dit, mieux vaut prévenir que guérir. 😉