行業(yè)動態(tài)

惡意軟件報(bào)告:Black Kingdom正在利用Exchange漏洞部署勒索軟件

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-03-26    瀏覽次數(shù):
 

信息來源:Freebuf


根據(jù)安全研究人員的最新報(bào)道,現(xiàn)在出現(xiàn)了一個(gè)名為“Black Kingdom”的新型勒索軟件,而這款勒索軟件主要通過利用Microsoft Exchange服務(wù)器的ProxyLogon漏洞來對服務(wù)器數(shù)據(jù)進(jìn)行加密,并實(shí)現(xiàn)勒索攻擊。

就在上個(gè)周末,安全研究人員Marcus Hutchins(又名MalwareTechBlog)在推特上發(fā)布消息稱,有一名攻擊者正在利用ProxyLogon漏洞來入侵Microsoft Exchange服務(wù)器,并在受攻擊的設(shè)備上部署勒索軟件。

根據(jù)該研究人員部署的蜜罐的日志記錄,Hutchins表示,攻擊者利用該漏洞來在目標(biāo)設(shè)備上執(zhí)行了一個(gè)PowerShell腳本,該腳本將從“yuuuuu44[.]com”下載并執(zhí)行勒索軟件,然后再利用受感染設(shè)備將勒索軟件推送到網(wǎng)絡(luò)中的其他計(jì)算機(jī)設(shè)備中。

眾所周知,蜜罐是技術(shù)人員專門暴露在互聯(lián)網(wǎng)中的存在各種安全漏洞的設(shè)備,主要用于引誘攻擊者對其進(jìn)行攻擊并監(jiān)視其活動。不過,Hutchins的蜜罐系統(tǒng)似乎并沒有被加密,因此他當(dāng)時(shí)親眼目睹的攻擊可以算是一次失敗的攻擊了。

然而,根據(jù)提交至勒索軟件識別網(wǎng)站ID Ransomware的信息來看,“Black Kingdom”活動已經(jīng)成功加密了很多其他目標(biāo)用戶的設(shè)備,而第一次提交是發(fā)生在2021年3月18日。

勒索軟件識別網(wǎng)站ID Ransomware的創(chuàng)始人Michael Gillespie在接受安全媒體采訪時(shí)表示,目前已經(jīng)有30多分不同的惡意軟件樣本提交到了他的網(wǎng)站系統(tǒng)中,而且很多都是直接通過郵件服務(wù)器提交的。

據(jù)了解,“Black Kingdom”的目標(biāo)用戶分布在美國、加拿大、奧地利、瑞士、俄羅斯、法國、以色列、英國、意大利、德國、希臘、澳大利亞和克羅地亞等國家和地區(qū)。

在對目標(biāo)設(shè)備進(jìn)行加密時(shí),“Black Kingdom”勒索軟件將使用隨機(jī)擴(kuò)展名加密文件,然后創(chuàng)建一個(gè)名為decrypt_file.TxT的勒索信息。但Hutchins表示,他所觀察到的勒索軟件文件名為ReadMe.txt,而且其中的內(nèi)容也有些許不同。

研究人員表示,目前所有的勒索信息都要求目標(biāo)用戶支付價(jià)值1萬美元的比特幣作為數(shù)據(jù)贖金,并且使用的比特幣錢包地址均為“1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT”。目前,這個(gè)比特幣錢包只在2021年3月18日收到了一筆付款,隨后其中的比特幣又被轉(zhuǎn)移到了其他錢包。

值得一提的是,2020年6月份的一次攻擊活動中也曾出現(xiàn)過一個(gè)名為“BlackKingdom”的勒索軟件,當(dāng)時(shí)這款勒索軟件可以利用Pulse VPN漏洞來對目標(biāo)企業(yè)漏洞實(shí)施攻擊。

不過,目前還沒有任何證據(jù)可以表明這兩款勒索軟件是同一個(gè)。不過Hutchins表示,現(xiàn)在這款“Black Kingdom”的可執(zhí)行文件是編譯成Windows可執(zhí)行文件的Python腳本,而2020年6月的“BlackKingdom”同樣也是使用Python編程語言開發(fā)的。

如果你不幸成為了“Black Kingdom”的受害者,允許你可以向網(wǎng)絡(luò)安全公司Emsisoft尋求文件恢復(fù)方面的幫助。

據(jù)了解,“Black Kingdom”是目前第二個(gè)已確認(rèn)的針對Microsoft Exchange ProxyLogon漏洞的勒索軟件,而第一個(gè)則是本月月初被曝光的DearCry勒索軟件。

近期,電子產(chǎn)品制造商宏碁(Acer)也遭遇了一次REvil勒索軟件攻擊,而此次攻擊也被懷疑是利用ProxyLogon漏洞實(shí)施的,但目前這一說法還未得到證實(shí)。


 
 

上一篇:【新品上線】聚銘網(wǎng)絡(luò)正式發(fā)布聚銘數(shù)據(jù)庫安全審計(jì)系統(tǒng)!

下一篇:2021年3月26日聚銘安全速遞