LockFile勒索軟件使用PetitPotam攻擊劫持Windows域（2021.08.27)

至少有一個勒索軟件攻擊者已經開始利用最近發現的PetitPotam NTLM中繼攻擊方法來接管全球各種網絡上的Windows域。攻擊的背后似乎是一個名為LockFile的新勒索軟件團伙，該團伙于7月首次出現，該團伙與該行業的其他團體有一些相似之處和參考。安全研究人員表示，攻擊者最初是通過Microsoft Exchange服務器訪問網絡的，但目前尚不清楚確切的方法。接下來，攻擊者利用新的PetitPotam方法接管組織的域控制器，該方法強制對LockFile控制下的遠程NTLM中繼進行身份驗證。完整報告可在https://www.bleepingcomputer.com下載。

國家計算機病毒應急處理中心建議廣大計算機用戶加強安全防范意識，做好日常備份（最好是異地備份），不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件，保持開啟殺毒軟件實時監控功能，并持續關注我中心網站上關于勒索軟件的有關資訊。

以上資訊由北京安天公司提供，國家計算機病毒應急處理中心研發部編譯整理