Другая операция программы-вымогателя, известная как «BlackKingdom», использует уязвимости Microsoft Exchange Server ProxyLogon для шифрования серверов.
В минувшие выходные исследователь безопасности Маркус Хатчинс, также известный как MalwareTechBlog, написал в Твиттере, что злоумышленник скомпрометировал серверы Microsoft Exchange с помощью уязвимостей ProxyLogon для развертывания программ-вымогателей.
На основе журналов его приманок. Хатчинс утверждает, что злоумышленник использовал уязвимость для выполнения сценария PowerShell, который загружает исполняемый файл программы-вымогателя с «yuuuuu44 [.] Com», а затем отправляет его на другие компьютеры в сети.
Приманки - это устройства с известными уязвимостями, которые открываются в Интернете для привлечения злоумышленников и отслеживания их действий. Однако приманки Хатчинса, похоже, не были зашифрованы, и атака, свидетелем которой он был, была признана провальной кампанией.
Однако, судя по материалам, отправленным на сайт идентификации программ-вымогателей ID Ransomware, кампания BlackKingdom зашифровала устройства других жертв, причем первые сообщения были отправлены 18 марта.
Майкл Гиллеспи, создатель ID Ransomware, сказал BleepingComputer, что его система получила более 30 уникальных отправок в его систему, многие из которых были отправлены непосредственно с почтовых серверов.
Пострадавшие находятся в США, Канаде, Австрии, Швейцарии, России, Франции, Израиле, Великобритании, Италии, Германии, Греции, Австралии и Хорватии.
При шифровании устройств программа-вымогатель шифрует файлы с использованием случайных расширений, а затем создает записку о выкупе с именем decrypt_file.TxT , как показано ниже.
Записка о выкупе BlackKingdom
Все записки о выкупе, которые видел BleepingComputer, требуют 10000 долларов в биткойнах и используют один и тот же биткойн-адрес ( 1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT ) для оплаты. 18 марта на этот биткойн-адрес был получен только один платеж, который с тех пор был переведен на другой адрес.
Еще одна программа-вымогатель, известная как BlackKingdom, ранее использовалась в атаках в июне 2020 года, когда корпоративные сети были скомпрометированы с помощью уязвимостей Pulse VPN.
Хотя не было подтверждено, использовались ли одни и те же вымогатели в недавних атаках и атаках лета 2020 года, Хатчинс заявляет, что текущий исполняемый файл вымогателя представляет собой скрипт Python, скомпилированный в исполняемый файл Windows. Программа-вымогатель BlackKingdom с июня 2020 года также была написана на Python.
BlackKingdom - вторая подтвержденная программа-вымогатель, нацеленная на уязвимости Microsoft Exchange ProxyLogon. Первым был вымогатель DearCry, который ранее в этом месяце использовался в ограниченных атаках.
Недавно ведущий производитель электроники Acer также пострадал от атаки вымогателя REvil, которая, как подозревается, была проведена через уязвимости ProxyLogon. Однако это не подтверждено.
Перевод - Google
Bleeping Computer