Eyni adlı şantaj xarakterli proqramı idarə edən LockFile kibercinayətkar qrupu Microsoft Exchange serverlərini “qırdıqdan” sonra Windows domenlərini şifrələyir. Cinayətkarların hücumları ProxyShell boşluqlarını hədəf alıb. Ekspertlər bu boşluqların aradan qaldırılması üçün mümkün qədər tez patç (proqram modulu) quraşdırmağı tövsiyə edir. ProxyShell hücumunun vektoru Microsoft Exchange serverində üç baqa əsaslanır. Bu üç baq birlikdə kodun məsafədən icrası üçün imkan yaradır. Black Hat konfransından sonra kibercinayətkarlar belə boşluqları müəyyən etmək üçün Microsoft Exchange serverlərini fəal şəkildə skan etməyə başladı. Microsoft 2021-ci ilin aprel ayında bağlamadan iki breş, may ayında isə bir breş üçün patç quraşdırıb:
CVE-2021-34473 —ACL (girişə nəzarət siyahısı) ötüb keçmə (aprel ayında KB5001779 buraxılması ilə düzəliş olunub);
CVE-2021-34523 — Exchange PowerShell proqram-aparat hissəsində (back-end) imtiyazların artması (aprel ayında KB5001779 buraxılması ilə düzəliş olunub);
CVE-2021-31207 — kodun məsafədən icrası (may ayında KB5003435 buraxılması ilə düzəliş olunub).
LockFile qruplaşmasının kiberhücumları barədə kifayət qədər məlumat olmasa da, onlar ilk dəfə 2021-ci ilin iyul ayında qeydə alınıb. Pul tələbi ilə məktubun üzərində “LOCKFILE-README.hta” yazılsa da, konkret qrupun adı məlum deyil:
Serveri “qırdıqdan” sonra cinayətkarlar qurbana məbləğin müzakirə olunması üçün Tox və ya elektron poçt vasitəsilə əlaqə saxlamağı təklif edir. Hal-hazırda cinayətkarlar contact@contipauper.com (elektron məktubların göndərilməsi üçün) elektron poçt ünvanını istifadə edir. Ziyanverici proqram şifrlənmiş fayllara .lockfile genişləməsini əlavə edir, lakin bu proqramın bir digər mənfi xüsusiyyəti də var. Maykl Gillespinin sözlərinə görə, bu şifrləyici çoxsaylı sistem resurslarını işə salaraq, daxil olduğu kompüterin işində ləngimələrə səbəb olur.
28 mart 2024
05 mart 2024
23 fevral 2024
13 fevral 2024
26 yanvar 2024
06 yanvar 2024
24 noyabr 2023
13 noyabr 2023
© 2011-2024 Bütün Hüquqlar Qorunur
