Ransomware运算符在已被黑客交换服务器上打击
在第一轮攻击中妥协的Microsoft Exchange服务器是由赎金瓶帮派遭到第二次感染,这是试图从攻击中捕获世界各地的组织的漏洞利用。
安全研究人员表示,被称为黑色王国,恶魔和魔鬼 - 要求恢复加密数据的10,000美元。恶意软件正在安装在以前感染的Exchange服务器上,该服务器在Microsoft电子邮件程序中利用攻击者的攻击者。攻击仍然在漏洞仍然是零日。即使Microsoft发布了紧急补丁,也有多达100,000个没有及时安装它的服务器。那些攻击背后的黑客安装了一个Web shell,允许任何了解URL完全控制受妥协服务器的人。最后一周发现了黑王国的斯巴特普。 Marcus Hutchins是安全公司Kryptos Logic的安全研究员,周日报告恶意软件实际上并没有加密文件。
有人只是通过Proxylogon漏洞在所有易受攻击的Exchange服务器上运行此脚本。它声称是Blackkingdom" ransomware"但它似乎似乎加密文件,只需删除赎金即可。 pic.twitter.com/poylpygjsz.
- Malwaretech(@MalwaretechBlog)2021年3月21日
星期二早上,微软威胁情报分析师凯文博蒙特报告说,黑色王国攻击“确实加密了文件。
我的个人服务器上的Blackkingdom Ransomware。它确实加密了文件。它们排除了C:\ Windows,但是我的存储驱动程序处于不同的文件夹中,它加密了......意味着服务器不再启动。如果您'重新阅读Blackkingdom,排除* .sys文件pic.twitter.com/nuvujtbcgo
- Kevin Beaumont(@Gossithedog)2021年3月23日
去年6月被安全公司Redteam发现了黑王国。 RansomWare正在占用未能修补脉冲VPN软件中的关键漏洞的服务器。黑王国也在去年年初出现。
Emsisoft的安全分析师Brett Callow表示,这并不清楚为什么最近的黑色王国攻击之一未能加密数据。
“初始版本加密文件,而后续版本只重命名为它们,”他写在电子邮件中。 “两个版本是否正在同时操作不清楚。它也不清楚为什么他们改变了他们的代码 - 可能是因为安全产品无法检测到或阻止重命名(假加密)进程?“
他补充说,一个版本的ransomware是使用加密方法,在许多情况下允许在不支付赎金的情况下恢复数据。他询问了不详细的方法,以防止赎金软件的运算符修复缺陷。
既不是arete or mea beaumont说,如果黑色王国攻击正在击中尚未安装微软的紧急补丁的服务器,或者攻击者只接管了不同组早期安装的不良安全的网站。
两周前,微软报告称,名为DEARCRY的单独的赎金厂是抓住了铪的服务器。 Hafnium是该公司在中国的国家赞助黑客的名称,这是第一个使用Proxylogon,所以给予的漏洞链的名称,获得完全控制易受攻击的交换服务器。
然而,安全公司Speartip表示,赎金软件是针对服务器的“初步开发可用的Microsoft Exchange漏洞”。该组安装竞争的DeArcry Ransomware也捎带。
根据Politico的说法,Black Kingdom作为美国脆弱服务器的数量下降到不到10,000,这引用了国家安全委员会发言人。 本月早些时候有大约120,000个弱势系统。 随着后续赎金软件攻击下划线,修补服务器不是在持续的交换服务器危机的完整解决方案附近的任何位置。 即使在SEVERS接收到安全更新时,如果仍然存在任何Web Shell,它们仍然可以使用勒索软件感染。 Microsoft正在敦促受影响的组织,没有经验丰富的安全人员运行此单击缓解脚本。
