惡意軟件報告:Black Kingdom正在利用Exchange漏洞部署勒索軟件
根據安全研究人員的最新報道,現在出現了一個名為“Black Kingdom”的新型勒索軟件,而這款勒索軟件主要通過利用Microsoft Exchange服務器的ProxyLogon漏洞來對服務器數據進行加密,并實現勒索攻擊。
就在上個周末,安全研究人員Marcus Hutchins(又名MalwareTechBlog)在推特上發布消息稱,有一名攻擊者正在利用ProxyLogon漏洞來入侵Microsoft Exchange服務器,并在受攻擊的設備上部署勒索軟件。
根據該研究人員部署的蜜罐的日志記錄,Hutchins表示,攻擊者利用該漏洞來在目標設備上執行了一個PowerShell腳本,該腳本將從“yuuuuu44[.]com”下載并執行勒索軟件,然后再利用受感染設備將勒索軟件推送到網絡中的其他計算機設備中。
眾所周知,蜜罐是技術人員專門暴露在互聯網中的存在各種安全漏洞的設備,主要用于引誘攻擊者對其進行攻擊并監視其活動。不過,Hutchins的蜜罐系統似乎并沒有被加密,因此他當時親眼目睹的攻擊可以算是一次失敗的攻擊了。
然而,根據提交至勒索軟件識別網站ID Ransomware的信息來看,“Black Kingdom”活動已經成功加密了很多其他目標用戶的設備,而第一次提交是發生在2021年3月18日。
勒索軟件識別網站ID Ransomware的創始人Michael Gillespie在接受安全媒體采訪時表示,目前已經有30多分不同的惡意軟件樣本提交到了他的網站系統中,而且很多都是直接通過郵件服務器提交的。
據了解,“Black Kingdom”的目標用戶分布在美國、加拿大、奧地利、瑞士、俄羅斯、法國、以色列、英國、意大利、德國、希臘、澳大利亞和克羅地亞等國家和地區。
在對目標設備進行加密時,“Black Kingdom”勒索軟件將使用隨機擴展名加密文件,然后創建一個名為decrypt_file.TxT的勒索信息。但Hutchins表示,他所觀察到的勒索軟件文件名為ReadMe.txt,而且其中的內容也有些許不同。
研究人員表示,目前所有的勒索信息都要求目標用戶支付價值1萬美元的比特幣作為數據贖金,并且使用的比特幣錢包地址均為“1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT”。目前,這個比特幣錢包只在2021年3月18日收到了一筆付款,隨后其中的比特幣又被轉移到了其他錢包。
值得一提的是,2020年6月份的一次攻擊活動中也曾出現過一個名為“BlackKingdom”的勒索軟件,當時這款勒索軟件可以利用Pulse VPN漏洞來對目標企業漏洞實施攻擊。
不過,目前還沒有任何證據可以表明這兩款勒索軟件是同一個。不過Hutchins表示,現在這款“Black Kingdom”的可執行文件是編譯成Windows可執行文件的Python腳本,而2020年6月的“BlackKingdom”同樣也是使用Python編程語言開發的。
如果你不幸成為了“Black Kingdom”的受害者,允許你可以向網絡安全公司Emsisoft尋求文件恢復方面的幫助。
據了解,“Black Kingdom”是目前第二個已確認的針對Microsoft Exchange ProxyLogon漏洞的勒索軟件,而第一個則是本月月初被曝光的DearCry勒索軟件。
近期,電子產品制造商宏碁(Acer)也遭遇了一次REvil勒索軟件攻擊,而此次攻擊也被懷疑是利用ProxyLogon漏洞實施的,但目前這一說法還未得到證實。
