LockFile勒索软件使用PetitPotam攻击劫持Windows域（2021.08.27)

至少有一个勒索软件攻击者已经开始利用最近发现的PetitPotam NTLM中继攻击方法来接管全球各种网络上的Windows域。攻击的背后似乎是一个名为LockFile的新勒索软件团伙，该团伙于7月首次出现，该团伙与该行业的其他团体有一些相似之处和参考。安全研究人员表示，攻击者最初是通过Microsoft Exchange服务器访问网络的，但目前尚不清楚确切的方法。接下来，攻击者利用新的PetitPotam方法接管组织的域控制器，该方法强制对LockFile控制下的远程NTLM中继进行身份验证。完整报告可在https://www.bleepingcomputer.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理