XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT XİDMƏTİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ

İnsident bildir

Xəbərlər > Yeni şifrləyici LockFile Microsoft Exchange serverlərinə hücum edir.

25 Avg 2021

Eyni adlı şantaj xarakterli proqramı idarə edən LockFile kibercinayətkar qrupu Microsoft Exchange serverlərini “qırdıqdan” sonra Windows domenlərini şifrələyir. Cinayətkarların hücumları ProxyShell boşluqlarını hədəf alıb. Ekspertlər bu boşluqların aradan qaldırılması üçün mümkün qədər tez patç (proqram modulu) quraşdırmağı tövsiyə edir. ProxyShell hücumunun vektoru Microsoft Exchange serverində üç baqa əsaslanır. Bu üç baq birlikdə kodun məsafədən icrası üçün imkan yaradır. Black Hat konfransından sonra kibercinayətkarlar belə boşluqları müəyyən etmək üçün Microsoft Exchange serverlərini fəal şəkildə skan etməyə başladı. Microsoft 2021-ci ilin aprel ayında bağlamadan iki breş, may ayında isə bir breş üçün patç quraşdırıb:

CVE-2021-34473 —ACL (girişə nəzarət siyahısı) ötüb keçmə (aprel ayında KB5001779 buraxılması ilə düzəliş olunub);

CVE-2021-34523 —  Exchange PowerShell proqram-aparat hissəsində (back-end) imtiyazların artması (aprel ayında KB5001779 buraxılması ilə düzəliş olunub);

CVE-2021-31207 — kodun məsafədən icrası (may ayında KB5003435 buraxılması ilə düzəliş olunub).

LockFile qruplaşmasının kiberhücumları barədə kifayət qədər məlumat olmasa da, onlar ilk dəfə 2021-ci ilin iyul ayında qeydə alınıb. Pul tələbi ilə məktubun üzərində “LOCKFILE-README.hta” yazılsa da, konkret qrupun adı məlum deyil: 

Serveri “qırdıqdan” sonra cinayətkarlar qurbana məbləğin müzakirə olunması üçün Tox və ya elektron poçt vasitəsilə əlaqə saxlamağı təklif edir. Hal-hazırda cinayətkarlar contact@contipauper.com (elektron məktubların göndərilməsi üçün) elektron poçt ünvanını istifadə edir. Ziyanverici proqram şifrlənmiş fayllara .lockfile genişləməsini əlavə edir, lakin bu proqramın bir digər mənfi xüsusiyyəti də var. Maykl Gillespinin sözlərinə görə, bu şifrləyici çoxsaylı sistem resurslarını işə salaraq, daxil olduğu kompüterin işində ləngimələrə səbəb olur.