Le ransomware Black Kingdom cible les serveurs Microsoft Exchange

0

Une autre opération de ransomware connue sous le nom de « Black Kingdom » exploite les vulnérabilités Proxylogon des serveurs Microsoft Exchange pour les chiffrer.

La semaine dernière, le chercheur en sécurité Marcus Hutchins, alias MalwareTechBlog, a tweeté qu’un pirate informatique compromettait les serveurs Microsoft Exchange en exploitant les vulnérabilités ProxyLogon pour déployer un ransomware.

En se basant sur les logs de ses honeypots, Hutchins déclare que le hacker a abusé des vulnérabilités pour exécuter un script PowerShell qui télécharge le ransomware exécutable à partir de ‘yuuuuu44[.] com’ et le répand ensuite vers d’autres appareils sur le réseau.

Les honeypots(pots de miel) sont des appareils avec des vulnérabilités connues qui sont exposées sur Internet pour attirer les pirates informatiques et surveiller leurs activités. Cependant, les honeypots de Hutchins ne semblent pas avoir été chiffrés, et l’attaque dont il a été témoin est donc considérée comme une campagne ratée.

Toutefois, en se basant sur les interventions sur le site d’identification de ransomware ID Ransomware, la campagne de Black Kingdom a chiffré les appareils d’autres victimes, avec des premiers signalements observés le 18 Mars.

Michael Gillespie, le créateur d’ID Ransomware, a déclaré que son système a reçu plus de 30 soumissions uniques dont beaucoup étaient soumis directement à partir de serveurs de messagerie.

Les victimes sont situées aux États-Unis, au Canada, en Autriche, en Suisse, en Russie, en France, en Israël, au Royaume-Uni, en Italie, en Allemagne, en Grèce, en Australie et en Croatie.

Lors du chiffrement des périphériques, le ransomware va chiffrer les fichiers à l’aide d’extensions aléatoires, puis créer une note de rançon nommée decrypt_file.TxT, comme indiqué ci-dessous. Hutchins déclare qu’il a vu une autre note de rançon nommée ReadMe.txt qui utilise un texte légèrement différent.

black kingdom

Les notes de rançon observées exigent toutes 10 000 $ en bitcoin et utilisent la même adresse Bitcoin (1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT) pour le paiement. Cette adresse Bitcoin n’a reçu qu’un seul paiement le 18 mars, qui a depuis été transféré à une autre adresse.

Un « autre » ransomware connu sous le nom de BlackKingdom a déjà été utilisé dans des attaques en Juin 2020 lorsque des réseaux d’entreprise ont été compromis en utilisant les vulnérabilités du VPN de Pulse.

Bien qu’il n’ait pas été confirmé si les attaques récentes et ceux de l’été 2020 utilisent le même ransomware, Hutchins déclare que le ransomware actuel exécute un script Python compilé dans un exécutable Windows. Le ransomware Black Kingdom de Juin 2020 a également été codé en Python.

Si vous êtes victime des récentes attaques de Black Kingdom, la société de cybersécurité Emsisoft pourrait être en mesure de fournir de l’aide pour récupérer des fichiers.

Black Kingdom est le deuxième ransomware qui cible les vulnérabilités Proxylogon de Microsoft Exchange. Le premier était le ransomware DearCry qui a été utilisé dans des attaques limitées plus tôt ce mois-ci.

Récemment, le fabricant d’électronique Acer a également subi une attaque du ransomware REvil qui est soupçonné d’avoir été menée en utilisant les vulnérabilités Proxylogon. Toutefois, cela n’a pas été confirmé.

Laisser un commentaire