LockFile-ransomware combineert ProxyShell- en PetitPotam-aanvallen

[Captain Kirk]

Een nieuwe ransomwaregroep genaamd LockFile combineert twee aanvallen om organisaties via hun Microsoft Exchange-servers met ransomware te infecteren. Volgens securitybedrijf Symantec zijn al zeker tien organisaties met de ransomware besmet geraakt. Voor de eerste stap combineren de aanvallers drie kwetsbaarheden met de naam ProxyShell. Daarmee is het mogelijk om kwetsbare Exchange-servers op afstand over te nemen, zo stelt beveiligingsonderzoeker Kevin Beaumont.

Vervolgens wordt de PetitPotam-aanval gebruikt om de domeincontroller van de organisatie over te nemen. Zodra de aanvallers de domeincontroller in handen hebben worden alle machines in het netwerk geïnfecteerd met ransomware. Symantec stelt dat productiebedrijven, financieel, juridische en zakelijke dienstverleners zijn getroffen, alsmede bedrijven in de reisbranche. De meeste slachtoffers werden in de Verenigde Staten en Azië waargenomen.

De aanvallers gaan daarbij vrij snel te werken. Tussen de tijd dat de Exchange-server wordt gecompromitteerd en de uitrol van de ransomware zit slechts twintig tot dertig minuten, aldus het securitybedrijf. Beveiligingsupdates voor de ProxyShell-kwetsbaarheden in Exchange zijn sinds april en mei beschikbaar. Daarnaast kunnen organisaties verschillende maatregelen treffen om zich tegen de PetitPotam-aanval te beschermen, aldus Microsoft.

 

bron: https://www.security.nl