Microsoft: le ransomware Black Kingdom a exploité 1500 serveurs Exchange

0

Microsoft a découvert des Web shells déployés par les opérateurs de Black Kingdom sur environ 1 500 serveurs Exchange vulnérables aux attaques ProxyLogon.

« Ils ont commencé plus tard que d’autres attaquants, avec de nombreux piratages se produisant entre le 18 Mars et le 20 Mars, une période où moins de systèmes non patchés étaient disponibles, a déclaré Microsoft 365 Defender Threat Intelligence Team.

« Ces shell webs ont été observées sur environ 1500 systèmes, qui n’ont pas tous évolué vers l’étape de ransomware.

« Bon nombre des systèmes compromis n’ont pas encore reçu d’action secondaire, comme des attaques ransomware exploitées par l’homme ou l’exfiltration de données, indiquant que les attaquants pourraient établir et conserver leur accès pour d’éventuelles actions ultérieures. »

Des demandes de rançons allant jusqu’à 10,000$

L’analyste de malware Marcus Hutchins a été le premier à repérer Black Kingdom (également appelé Pydomer par Microsoft) ciblant les serveurs Exchange au après que l’un de ses honeypots ProxyLogon ait attiré l’activité malveillante.

Plus de 30 soumissions de Black Kingdom provenant directement de serveurs de messagerie touchés ont été ajoutées au site d’identification de ransomware ID Ransomware à partir du 18 mars.

Alors que le gang de ransomware n’a pas chiffré les fichiers sur les honeypots de Marcus Hutchins, les soumissions d’ID Ransomware viennent toutes de serveurs Exchange chiffrés avec succès.

Les victimes du ransomware Black Kingdom sont situés aux États-Unis, Russie, Canada, Allemagne, Autriche, Suisse, France, Israël, Royaume-Uni, Italie, Grèce, Australie et Croatie.

black kingdom microsoft

La note de rançon avertissait également les victimes que les données avaient été volées avant que leurs appareils ne soient chiffrés et seraient rendues publiques si une rançon n’était pas payée.

Dans certaines des attaques, Microsoft a noté qu’une note de rançon a été créée même si l’appareil n’était pas chiffré. On ne sait pas s’il s’agissait d’une tentative de chiffrement ratée ou s’il s’agissait simplement d’exfiltrer des données et de les rançonner.

« La note doit être prise au sérieux si elle est rencontrée, car les attaquants avaient un accès complet aux systèmes et étaient susceptibles d’exfiltrer les données », a ajouté Microsoft.

black kingdom

Bien qu’une connexion n’ait pas encore été faite, un autre ransomware surnommé Black Kingdom ciblait les réseaux d’entreprise avec des exploits VPN Pulse Secure en Juin 2020.

Hutchins a déclaré que le ransomware actuel est un script Python compilé comme un exécutable Windows.

Des attaques de Black Kingdom ciblent les serveurs Exchange

Black Kingdom est le deuxième ransomware confirmé qui cible les serveurs Microsoft Exchange non patchés avec des exploits ProxyLogon.

Le premier était le ransomware DearCry, une nouvelle souche déployée dans les attaques qui a commencé environ une semaine après que Microsoft ait déployé les mises à jour de sécurité pour Proxylogon.

Les individus malveillants derrière les attaques ProxyLogon ont également dérobé des informations d’identification via les dumps LSASS et déployer des logiciels malveillants de crypto-minage.

Microsoft a révélé qu’environ 92% de tous les serveurs Exchange accessibles sur Internet et affectés par les vulnérabilités ProxyLogon sont désormais corrigés et à l’abri des attaques en cours.

Sur un total de 400 000 serveurs Exchange connectés à Internet et affectés par les failles Proxylogon lorsque Microsoft a publié les correctifs de sécurité initiaux le 2 mars, il y en a maintenant moins de 30 000 encore exposés à des attaques, selon la télémétrie de RiskIQ.

proxylogon
Laisser un commentaire