Les serveurs Microsoft Exchange sont à nouveau attaqués après qu'un chercheur en sécurité a découvert une nouvelle campagne connue sous le nom de « BlackKingdom » qui exploite les vulnérabilités de ProxyLogon pour déployer un ransomware. Tel que rapporté par BleepingComputer, le chercheur en sécurité Marcus Hutchins de MalwareTechBlog a détaillé sa découverte dans une récente série de tweets, en disant : « Quelqu'un vient d'exécuter ce script sur tous les serveurs Exchange vulnérables via la vulnérabilité ProxyLogon. Il prétend être un « Ransomware » de BlackKingdom, mais il ne semble pas crypter les fichiers, il dépose simplement une demande de rançon dans chaque répertoire. D'après mon backlog honeypot, le même attaquant a exécuté le script suivant il y a quelques jours, mais il a échoué. "Alors que les attaquants ont tenté d'envoyer le ransomware vers les pots de miel de Cackling, ils n'étaient pas cryptés, ce qui suggère qu'ils ont été témoins d'une attaque ratée.
NegroReino
Bien que les attaquants aient tenté sans succès de chiffrer les pots de miel de Hutchin, les soumissions au site d'identification de ransomware ID Ransomware montrent que BlackKingdom a réussi à chiffrer les appareils d'autres victimes à la mi-mars. Jusqu’à présent, BlackKingdom a infecté des victimes aux États-Unis, au Canada, en Australie, en Suisse, en Russie, en France, en Israël, au Royaume-Uni, en Italie, en Allemagne, en Grèce, en Australie et en Croatie. Une fois déployé avec succès, le ransomware crypte les fichiers à l'aide d'extensions aléatoires, puis laisse une note de rançon appelée decrypt_file.TxT. Cependant, au cours de son enquête, Hutchins a trouvé une autre demande de rançon appelée ReadMe.txt qui utilisait un texte légèrement différent. Les deux demandes de rançon demandent aux victimes de payer 10,000 XNUMX € en bitcoins pour décrypter leurs serveurs. Ce n’est pas la première fois qu’un ransomware connu sous le nom de BlackKingdom est observé dans la nature. En juin de l'année dernière, un autre ransomware du même nom a été utilisé pour compromettre les réseaux d'entreprise en exploitant les vulnérabilités de Pulse VPN. Bien que cela n’ait pas encore été confirmé, les deux versions du ransomware BlackKingdom ont été écrites en Python. Un autre ransomware connu sous le nom de DearCry a également été utilisé pour lancer des attaques contre les serveurs Microsoft Exchange en exploitant les vulnérabilités de ProxyLogon au début du mois. Via un ordinateur Bleeping