Серверы Microsoft Exchange снова подверглись атаке после того, как исследователь безопасности обнаружил новую кампанию, известную как «BlackKingdom», которая использует уязвимости ProxyLogon для развертывания программ-вымогателей. Как сообщает BleepingComputer, исследователь безопасности Маркус Хатчинс из MalwareTechBlog подробно описал свое открытие в недавней серии твитов, сказав: «Кто-то только что запустил этот скрипт на всех уязвимых серверах Exchange через уязвимость ProxyLogon. Он утверждает, что является «программой-вымогателем» BlackKingdom, но, похоже, не шифрует файлы, а просто добавляет заметку о выкупе в каждом каталоге. Судя по моему бэклогу приманки, тот же злоумышленник несколько дней назад запустил следующий скрипт, но он потерпел неудачу. «Хотя злоумышленники пытались отправить программы-вымогатели в приманки Кэклинга, они не были зашифрованы, что позволяет предположить, что он был свидетелем неудачной атаки.
НегроРейно
Хотя злоумышленники безуспешно пытались зашифровать приманки Хатчина, данные, отправленные на сайт идентификации программ-вымогателей ID Ransomware, показывают, что BlackKingdom удалось зашифровать устройства других жертв в середине марта. На данный момент BlackKingdom заразил жертв в США, Канаде, Австралии, Швейцарии, России, Франции, Израиле, Великобритании, Италии, Германии, Греции, Австралии и Хорватии. При успешном развертывании программа-вымогатель шифрует файлы, используя случайные расширения, а затем оставляет примечание о выкупе под названием decrypt_file.TxT. Однако в ходе своего расследования Хатчинс обнаружил другую записку с требованием выкупа под названием ReadMe.txt, в которой использовался немного другой текст. Обе записки о выкупе просят жертв заплатить 10,000 XNUMX евро в биткойнах, чтобы взломать их серверы. Это не первый раз, когда вирус-вымогатель, известный как BlackKingdom, был замечен в дикой природе. В июне прошлого года другой одноименный вымогатель был использован для компрометации корпоративных сетей путем эксплуатации уязвимостей в Pulse VPN. Хотя это еще не подтверждено, обе версии программы-вымогателя BlackKingdom были написаны на Python. Другая программа-вымогатель, известная как DearCry, также использовалась для атак на серверы Microsoft Exchange, используя уязвимости ProxyLogon в начале этого месяца. Через BleepingComputer