- Сравнение
- Учебники
- Системы Microsoft атакованы программой-вымогателем «Черное королевство»
Ранее в этом году серверы Microsoft Exchange подверглись атаке киберпреступников, которые использовали известную уязвимость для заражения их программой-вымогателем Black Kingdom. Сегодня компания по кибербезопасности «Касперский» опубликовала новый отчет, в котором содержится дополнительная информация о том, как работает этот вид программы-вымогателя, а также новые подробности о киберпреступниках, стоящих за ним. Хотя программа-вымогатель Black Kingdom впервые появилась в 2019 году, она стала широко известна в марте этого года, когда была использована в кампании, использующей уязвимость ProxyLogon, отслеживаемую как CVE-2021-27065, в Microsoft Exchange. Однако, согласно анализу программы-вымогателя, проведенному Касперским, это любительская реализация с несколькими ошибками и критическим недостатком шифрования, который может позволить любому расшифровать зараженные файлы с помощью зашифрованного ключа.
Программа-вымогатель Черного Королевства
Хотя конечной целью любого штамма программы-вымогателя является шифрование файлов в системе, автор штамма программы-вымогателя Black Kingdom, написанного на Python, решил указать определенные папки, которые следует исключить из шифрования. Программа-вымогатель предотвращает шифрование файлов Windows, ProgramData, Program Files, Program Filex (x86), AppData/Roaming, AppData/LocalLow и AppData/Local в конкретной системе, чтобы избежать их взлома во время шифрования. Однако то, как написан код, реализующий эту функцию, стало для Касперского явным признаком того, что ее создатели, возможно, были дилетантами. Разработчики Ransowmare часто допускают ошибки, из-за которых файлы могут быть легко расшифрованы, если вообще будут расшифрованы. Например, программа-вымогатель Black Kingdom пытается загрузить свой ключ шифрования в службу облачного хранилища Mega, но если это не удается, для шифрования файлов используется зашифрованный ключ. Если файлы системы были зашифрованы и она не подключается к Mega, то эти зашифрованные файлы можно будет восстановить с помощью зашифрованного ключа. Еще одна ошибка, допущенная создателями Black Kingdom и отмеченная исследователями «Лаборатории Касперского», заключается в том, что все их заметки о вымогателях содержат несколько ошибок вместе с одним и тем же биткойн-адресом. Другие семейства программ-вымогателей предоставляют уникальный адрес каждой жертве, что существенно затрудняет определение того, кто изначально создал вредоносное ПО, которое они использовали. Киберпреступники в настоящее время не используют программу-вымогатель Black Kingdom для проведения атак, но организации должны быть готовы ожидать ее повторного появления. По этой причине уязвимые организации следует дополнительно изучить раппортом Капсерского и, если они отсутствуют, исправить серверы Microsoft Exchange в один клик предприятия за вас.