Microsoft Exchange Os servidores estão novamente sob ataque quando um pesquisador de segurança descobriu uma nova campanha conhecida como “BlackKingdom” que tira proveito do ProxyLogon vulnerabilidades para implementar Sequestro de dados.
Conforme relatado por BleepingComputer, o pesquisador de segurança Marcus Hutchins do MalwareTechBlog detalhou sua descoberta em um recente série de tweets, ditado:
“Alguém acabou de executar esse script em todos os servidores Exchange vulneráveis por meio da vulnerabilidade ProxyLogon. Ele afirma ser “Ransomware” da BlackKingdom, mas não parece criptografar arquivos, apenas deixa cair uma nota de resgate em cada diretório. Com base na minha construção do honeypot, o mesmo invasor executou o seguinte script alguns dias antes, mas falhou. “
Enquanto os atacantes tentavam entregar ransomware para Hutchins ‘ potes de mel, não foram criptografados, sugerindo que ele testemunhou um ataque fracassado.
BlackKingdom
Embora os invasores tenham tentado sem sucesso criptografar os honeypots Hutchin, os envios para o site de identificação de ransomware ID ransomware mostram que BlackKingdom foi capaz de criptografar com sucesso os dispositivos de outras vítimas em meados de março.
Até agora, BlackKingdom infectou vítimas nos Estados Unidos, Canadá, Austrália, Suíça, Rússia, França, Israel, Reino Unido, Itália, Alemanha, Grécia, Austrália e Croácia.
Quando implementado com sucesso, o ransomware criptografa os arquivos usando extensões aleatórias e, em seguida, deixa uma nota de resgate chamada decrypt_file.TxT. No entanto, em sua pesquisa, Hutchins encontrou uma nota de resgate diferente chamada ReadMe.txt que usava um texto um pouco diferente. Ambas as notas de resgate solicitam que as vítimas paguem $ 10.000 em bitcoin para descriptografar seus servidores.
Esta não é a primeira vez que um ransomware conhecido como BlackKingdom foi observado na selva. Em junho do ano passado, outro ransomware com o mesmo nome foi usado para comprometer redes corporativas, explorando vulnerabilidades em VPN de pulso. Embora ainda não tenha sido confirmado, ambas as versões do ransomware BlackKingdom foram escritas em Piton.
Outro ransomware conhecido como DearCry também foi usado para lançar ataques contra servidores Microsoft Exchange, explorando vulnerabilidades do ProxyLogon no início deste mês.
Através da BleepingComputer
