Microsoft: Black Kingdom ransomware tấn công 1500 Exchange servers.



Microsoft đã phát hiện ra các web shells được triển khai bởi những kẻ đứng sau Black Kingdom trên khoảng 1.500 Exchange servers dễ bị tấn công ProxyLogon.

Nhóm Microsoft 365 Defender Threat Intelligence Team cho biết: “Chúng bắt đầu muộn hơn so với một số hacker khác, với nhiều vụ xâm nhập xảy ra trong khoảng thời gian từ ngày 18 tháng 3 đến ngày 20 tháng 3, một thời điểm khi mà có ít hệ thống chưa được vá hơn”.

“Các web shells này đã được theo dõi trên khoảng 1.500 hệ thống, không phải tất cả đều chuyển sang giai đoạn ransomware.

“Nhiều hệ thống bị xâm nhập vẫn chưa bị chúng triển khai những bước tiếp theo, chẳng hạn như các cuộc Ransomware attacks ,hoặc bị  xâm nhập dữ liệu, cho thấy những hacker có thể đang thiết lập và giữ quyền truy cập này  cho các hành vi phạm pháp tiềm năng sau này.”

Yêu cầu khoản tiền chuộc lên đến 10.000 đô la.

Nhà phân tích malware Marcus Hutchins là người đầu tiên  đã phát hiện ra Black Kingdom (cũng được Microsoft theo dõi là Pydomer) nhắm mục tiêu vào Exchange servers vào cuối tuần,sau khi một trong những ProxyLogon honeypots của anh ta phát hiện ra hoạt động độc hại.

Có hơn Black Kingdom Submissions đến trực tiếp từ các Mail servers bị ảnh hưởng đã được thêm vào ID trang web ID Ransomware bắt đầu từ ngày 18 tháng 3.

Mặc dù băng đảng ransomware không thể mã hóa bất kỳ tệp nào trên honeypots của Hutchins, các lần gửi ID Ransomware đều từ các Exchange servers. được mã hóa thành công.

Các nạn nhân của ransomware Black Kingdom ở Hoa Kỳ, Nga, Canada, Đức, Áo, Thụy Sĩ, Pháp, Israel, Vương quốc Anh, Ý, Hy Lạp, Úc và Croatia.

Khi BleepingComputer phân tích ransomware Black Kingdom, nó đã tạo ra một thông báo đòi tiền chuộc đòi hỏi $ 10.000 bitcoin cho một khóa giải mã.

Thông báo đòi tiền chuộc từ Black Kingdom.



Thông báo đòi tiền chuộc cũng cảnh báo nạn nhân rằng dữ liệu đã bị đánh cắp trước khi thiết bị của họ được mã hóa và sẽ bị phát động tấn công nếu không trả tiền chuộc.

Trong một số cuộc tấn công, Microsoft lưu ý rằng một ghi chú đòi tiền chuộc đã được tạo ra mặc dù thiết bị không được mã hóa. Không rõ đây có phải là một nỗ lực mã hóa thất bại hay họ chỉ đơn giản là lấy dữ liệu và đòi tiền chuộc.

Microsoft cho biết thêm: “ Thông báo này cần phải xem xét một cách cực kì nghiêm túc, vì những hacker có toàn quyền truy cập vào các hệ thống và có khả năng lấy cắp dữ liệu”.

Hoạt động hậu khai thác ransomware của Black Kingdom (Microsoft)

Trong khi kết nối vẫn chưa được thực hiện, một ransomware khác có tên Black Kingdom  đã nhắm mục tiêu vào các mạng công ty với mục đích khai thác Pulse Secure VPN vào tháng 6 năm 2020.

Hutchins nói rằng Ransomware executable hiện tại là một tập lệnh Python được biên dịch dưới dạng Windows executable. BleepingComputer đã xác nhận rằng ransomware Black Kingdom năm ngoái cũng là một malware dựa trên Python.

Các cuộc tấn công vào các Exchange Servers chưa được vá lỗi.

Black Kingdom là phần mềm tống tiền thứ hai được xác nhận nhắm mục tiêu vào các máy chủ Microsoft Exchange chưa được vá lỗi bằng cách khai thác ProxyLogon.

Cái đầu tiên là DearCry ransomware, một chủng mới được triển khai trong các cuộc tấn công bắt đầu khoảng một tuần sau khi Microsoft phát hành bản cập nhật bảo mật ProxyLogon.

Các hacker đằng sau các cuộc ProxyLogon attacks cũng đã bị theo dõi, trong khi đánh cắp thông tin đăng nhập thông qua LSASS dumps và triển khai malware để đào tiền bitcoin.

Microsoft đã tiết lộ vào thứ Hai rằng khoảng 92% tất cả on-premises Exchange servers có thể truy cập qua Internet và bị ảnh hưởng bởi các lỗ hổng ProxyLogon hiện đã được vá và an toàn trước các cuộc tấn công đang diễn ra.

Từ tổng số 400.000 máy chủ Exchange được kết nối Internet bị ảnh hưởng bởi lỗi ProxyLogon khi Microsoft phát hành các bản vá bảo mật ban đầu vào ngày 2/3, hiện còn dưới 30.000 máy chủ vẫn bị tấn công, theo RiskIQ từ xa.

ProxyLogon Exchange trên toàn thế giới (RiskIQ)

nguồn : bleepingcomputer.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật