Le ransomware Black Kingdom cible les serveurs Microsoft Exchange

0

Une autre opération de ransomware connu sous le nom de « Black Kingdom » est d’exploiter les vulnérabilités Proxylogon des serveurs Microsoft Exchange pour les chiffrer.

La semaine dernière, le chercheur en sécurité Marcus Hutchins, alias MalwareTechBlog, a tweeté qu’un acteur de la menace compromettait les serveurs Microsoft Exchange via les vulnérabilités ProxyLogon pour déployer un ransomware.

En se basant sur les logs de ses honeypots, Hutchins déclare que l’acteur de la menace a utilisé la vulnérabilité pour exécuter un script PowerShell qui télécharge le ransomware exécutable à partir de ‘yuuuuu44[.] com’ et puis le répand vers d’autres ordinateurs sur le réseau.

Les honeypots(pots de miel) sont des appareils avec des vulnérabilités connues exposées sur Internet pour attirer les pirates informatiques et surveiller leurs activités. Cependant, les honeypots de Hutchins ne semblent pas avoir été chiffrés, et l’attaque dont il a été témoin est considérée comme une campagne ratée.

Toutefois, en se basant sur les soumissions au site d’identification ransomware ID Ransomware, la campagne de Black Kingdom a chiffré les appareils d’autres victimes, avec les premières soumissions observées le 18 Mars.

Michael Gillespie, le créateur d’ID Ransomware, a déclaré que son système a reçu plus de 30 soumissions uniques dont beaucoup étaient soumis directement à partir de serveurs de messagerie.

Les victimes sont situées aux États-Unis, au Canada, en Autriche, en Suisse, en Russie, en France, en Israël, au Royaume-Uni, en Italie, en Allemagne, en Grèce, en Australie et en Croatie.

Lors du chiffrement des périphériques, le ransomware va chiffrer les fichiers à l’aide d’extensions aléatoires, puis créer une note de rançon nommée decrypt_file.TxT, comme indiqué ci-dessous. Hutchins déclare qu’il a vu une autre note de rançon nommée ReadMe.txt qui utilise un texte légèrement différent.

black kingdom

Les notes de rançon observées exigent toutes 10 000 $ en bitcoin et utilisent la même adresse Bitcoin (1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT) pour le paiement. Cette adresse Bitcoin n’a reçu qu’un seul paiement le 18 mars, qui a depuis été transféré à une autre adresse.

Un autre ransomware connu sous le nom de BlackKingdom a déjà été utilisé dans des attaques en Juin 2020 lorsque des réseaux d’entreprise ont été compromis en utilisant les vulnérabilités du VPN de Pulse.

Bien qu’il n’ait pas été confirmé si les attaques récentes et ceux de l’été 2020 utilisent le même ransomware, Hutchins déclare que le ransomware actuel exécutable est un script Python compilé dans un exécutable Windows. Le ransomware Black Kingdom de Juin 2020 a également été codé en Python.

Si vous êtes victime des récentes attaques de Black Kingdom, la société de cybersécurité Emsisoft pourrait être en mesure de fournir de l’aide pour récupérer des fichiers.

Black Kingdom est le deuxième ransomware confirmé ciblant les vulnérabilités Proxylogon de Microsoft Exchange. Le premier était le ransomware DearCry qui a été utilisé dans des attaques limitées plus tôt ce mois-ci.

Récemment, le fabricant d’électronique Acer a également subi une attaque du ransomware REvil qui est soupçonné d’avoir été menée en utilisant les vulnérabilités Proxylogon. Toutefois, cela n’a pas été confirmé.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.