Eyni adlı şantaj xarakterli proqramı idarə edən LockFile kibercinayətkar qrupu “Microsoft Exchange” serverlərini “qırdıqdan” sonra “Windows” domenlərini şifrələyir.
Bu barədə Banker.az-a Azərbaycan Respublikasi Xüsusi Rabitə və Informasiya Təhlükəsizliyi Dövlət Xidmətinin tərkibində olan Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzi bildirir.
“Cinayətkarların hücumları ProxyShell boşluqlarını hədəf alıb. Ekspertlər bu boşluqların aradan qaldırılması üçün mümkün qədər tez patç (proqram modulu) quraşdırmağı tövsiyə edir. ProxyShell hücumunun vektoru “Microsoft Exchange” serverində üç baqa əsaslanır. Bu üç baq birlikdə kodun məsafədən icrası üçün imkan yaradır. Black Hat konfransından sonra kibercinayətkarlar belə boşluqları müəyyən etmək üçün “Microsoft Exchange” serverlərini fəal şəkildə skan etməyə başladı”.
Mərkəz bildirir ki, “Microsoft” 2021-ci ilin aprel ayında bağlamadan iki breş, may ayında isə bir breş üçün patç quraşdırıb:
- CVE-2021-34473 —ACL (girişə nəzarət siyahısı) ötüb keçmə (aprel ayında KB5001779 buraxılması ilə düzəliş olunub);
- CVE-2021-34523 — Exchange PowerShell proqram-aparat hissəsində (back-end) imtiyazların artması (aprel ayında KB5001779 buraxılması ilə düzəliş olunub);
- CVE-2021-31207 — kodun məsafədən icrası (may ayında KB5003435 buraxılması ilə düzəliş olunub).
LockFile qruplaşmasının kiberhücumları barədə kifayət qədər məlumat olmasa da, onlar ilk dəfə 2021-ci ilin iyul ayında qeydə alınıb. Pul tələbi ilə məktubun üzərində “LOCKFILE-README.hta” yazılsa da, konkret qrupun adı məlum deyil:
Serveri “qırdıqdan” sonra cinayətkarlar qurbana məbləğin müzakirə olunması üçün Tox və ya elektron poçt vasitəsilə əlaqə saxlamağı təklif edir. Hal-hazırda cinayətkarlar [email protected] (elektron məktubların göndərilməsi üçün) elektron poçt ünvanını istifadə edir. Ziyanverici proqram şifrlənmiş fayllara .lockfile genişləməsini əlavə edir, lakin bu proqramın bir digər mənfi xüsusiyyəti də var.
Maykl Gillespinin sözlərinə görə, bu şifrləyici çoxsaylı sistem resurslarını işə salaraq, daxil olduğu kompüterin işində ləngimələrə səbəb olur.