信息來源：Freebuf

根據(jù)安全研究人員的最新報(bào)道，現(xiàn)在出現(xiàn)了一個(gè)名為“Black Kingdom”的新型勒索軟件，而這款勒索軟件主要通過利用Microsoft Exchange服務(wù)器的ProxyLogon漏洞來對服務(wù)器數(shù)據(jù)進(jìn)行加密，并實(shí)現(xiàn)勒索攻擊。

就在上個(gè)周末，安全研究人員Marcus Hutchins（又名MalwareTechBlog）在推特上發(fā)布消息稱，有一名攻擊者正在利用ProxyLogon漏洞來入侵Microsoft Exchange服務(wù)器，并在受攻擊的設(shè)備上部署勒索軟件。

根據(jù)該研究人員部署的蜜罐的日志記錄，Hutchins表示，攻擊者利用該漏洞來在目標(biāo)設(shè)備上執(zhí)行了一個(gè)PowerShell腳本，該腳本將從“yuuuuu44[.]com”下載并執(zhí)行勒索軟件，然后再利用受感染設(shè)備將勒索軟件推送到網(wǎng)絡(luò)中的其他計(jì)算機(jī)設(shè)備中。

眾所周知，蜜罐是技術(shù)人員專門暴露在互聯(lián)網(wǎng)中的存在各種安全漏洞的設(shè)備，主要用于引誘攻擊者對其進(jìn)行攻擊并監(jiān)視其活動(dòng)。不過，Hutchins的蜜罐系統(tǒng)似乎并沒有被加密，因此他當(dāng)時(shí)親眼目睹的攻擊可以算是一次失敗的攻擊了。

然而，根據(jù)提交至勒索軟件識別網(wǎng)站ID Ransomware的信息來看，“Black Kingdom”活動(dòng)已經(jīng)成功加密了很多其他目標(biāo)用戶的設(shè)備，而第一次提交是發(fā)生在2021年3月18日。

勒索軟件識別網(wǎng)站ID Ransomware的創(chuàng)始人Michael Gillespie在接受安全媒體采訪時(shí)表示，目前已經(jīng)有30多分不同的惡意軟件樣本提交到了他的網(wǎng)站系統(tǒng)中，而且很多都是直接通過郵件服務(wù)器提交的。

據(jù)了解，“Black Kingdom”的目標(biāo)用戶分布在美國、加拿大、奧地利、瑞士、俄羅斯、法國、以色列、英國、意大利、德國、希臘、澳大利亞和克羅地亞等國家和地區(qū)。

在對目標(biāo)設(shè)備進(jìn)行加密時(shí)，“Black Kingdom”勒索軟件將使用隨機(jī)擴(kuò)展名加密文件，然后創(chuàng)建一個(gè)名為decrypt_file.TxT的勒索信息。但Hutchins表示，他所觀察到的勒索軟件文件名為ReadMe.txt，而且其中的內(nèi)容也有些許不同。

研究人員表示，目前所有的勒索信息都要求目標(biāo)用戶支付價(jià)值1萬美元的比特幣作為數(shù)據(jù)贖金，并且使用的比特幣錢包地址均為“1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT”。目前，這個(gè)比特幣錢包只在2021年3月18日收到了一筆付款，隨后其中的比特幣又被轉(zhuǎn)移到了其他錢包。

值得一提的是，2020年6月份的一次攻擊活動(dòng)中也曾出現(xiàn)過一個(gè)名為“BlackKingdom”的勒索軟件，當(dāng)時(shí)這款勒索軟件可以利用Pulse VPN漏洞來對目標(biāo)企業(yè)漏洞實(shí)施攻擊。

不過，目前還沒有任何證據(jù)可以表明這兩款勒索軟件是同一個(gè)。不過Hutchins表示，現(xiàn)在這款“Black Kingdom”的可執(zhí)行文件是編譯成Windows可執(zhí)行文件的Python腳本，而2020年6月的“BlackKingdom”同樣也是使用Python編程語言開發(fā)的。

如果你不幸成為了“Black Kingdom”的受害者，允許你可以向網(wǎng)絡(luò)安全公司Emsisoft尋求文件恢復(fù)方面的幫助。

據(jù)了解，“Black Kingdom”是目前第二個(gè)已確認(rèn)的針對Microsoft Exchange ProxyLogon漏洞的勒索軟件，而第一個(gè)則是本月月初被曝光的DearCry勒索軟件。

近期，電子產(chǎn)品制造商宏碁（Acer）也遭遇了一次REvil勒索軟件攻擊，而此次攻擊也被懷疑是利用ProxyLogon漏洞實(shí)施的，但目前這一說法還未得到證實(shí)。