Ataques LockFile foram registrados principalmente nos EUA e na Ásia, suas vítimas incluindo organizações nos seguintes setores: serviços financeiros, manufatura, engenharia, jurídico, serviços comerciais, viagens e turismo.
Pesquisadores de segurança da Symantec, uma divisão da Broadcom, disseram que o acesso inicial do atacante à rede é por meio de servidores Microsoft Exchange, mas o método exato permanece desconhecido no momento. Em seguida, o invasor assume o controlador de domínio da organização, aproveitando o novo método PetitPotam, que força a autenticação para uma retransmissão NTLM remota sob o controle de LockFile.
O método de ataque do LockFile parece contar com um código disponível publicamente para explorar a variante PetitPotam original (identificada como CVE-2021-36942).
Depois que os invasores assumem, com êxito, o controlador de domínio, eles têm efetivamente o controle de todo o domínio do Windows e podem executar qualquer comando que desejarem.
A Symantec analisou a cadeia de ataques do LockFile e observou que os atacantes normalmente passam vários dias na rede antes de acionarem o malware de criptografia dos arquivos. Ao comprometer o servidor Exchange da vítima, o invasor executa um comando do PowerShell para baixar um exploit para a máquina local.
- active_desktop_render.dll
- active_desktop_launcher.exe
Os pesquisadores afirmam que, quando acionada, a DLL tenta carregar e descriptografar um arquivo chamado “desktop.ini” que contém o código malicioso. A Symantec não recuperou o arquivo para análise, mas afirma que uma operação bem-sucedida termina com a execução do shellcode.
Nenhum comentário:
Postar um comentário