Microsoft обнаружила веб-оболочки, развернутые операторами Black Kingdom примерно на 1500 серверах Exchange, уязвимые для атак ProxyLogon.
«Они начали позже, чем некоторые другие злоумышленники, при этом многие компрометации произошли в период с 18 по 20 марта, когда было доступно меньше непропатченных систем». заявила группа аналитики угроз Microsoft 365 Defender.
«Эти веб-оболочки наблюдались примерно в 1500 системах, не все из которых перешли на стадию вымогательства.
«Многие из скомпрометированных систем еще не подверглись вторичным действиям, таким как атаки программ-вымогателей, управляемые человеком, или кража данных, что указывает на то, что злоумышленники могут установить и сохранить свой доступ для возможных последующих действий».
Требование выкупа до 10 000
Аналитик вредоносного ПО Маркус Хатчинс был первым, кто обнаружил Black Kingdom (также отслеживаемый Microsoft как Pydomer) нацеленным на серверы Exchange за выходные после того, как один из его приманок ProxyLogon уловил вредоносную активность.
Начиная с 18 марта на сайте идентификации вымогателей было добавлено более 30 материалов Black Kingdom, поступающих непосредственно с затронутых почтовых серверов.
В то время как банда вымогателей не смогла зашифровать какие-либо файлы на приманках Хатчинса, все идентификаторы вымогателей отправляются с успешно зашифрованных серверов Exchange.
Жертвы программы-вымогателя Black Kingdom находятся в США, России, Канаде, Германии, Австрии, Швейцарии, Франции, Израиле, Великобритании, Италии, Греции, Австралии и Хорватии.
Когда BleepingComputer проанализировал программу-вымогатель Black Kingdom, он создал записку с требованием выкупа в размере 10000 биткойнов за ключ дешифрования.
В записке о выкупе также содержится предупреждение жертвам, что данные были украдены до того, как их устройства были зашифрованы и будут публично обнародованы, если выкуп не будет уплачен.
В некоторых атаках Microsoft отметила, что записка с требованием выкупа была создана, даже если устройство не было зашифровано. Неизвестно, была ли это неудачная попытка шифрования или они просто захватили данные и выкупили их.
«При обнаружении этого примечания следует отнестись серьезно, поскольку злоумышленники имели полный доступ к системам и, вероятно, могли украсть данные». добавила Microsoft.
Хотя соединение еще не было установлено, еще одна программа-вымогатель, получившая название Black Kingdom, нацелена на корпоративные сети с помощью эксплойтов Pulse Secure VPN в июне 2020 года.
Хатчинс сказал, что текущий исполняемый файл вымогателя представляет собой скрипт Python, скомпилированный как исполняемый файл Windows. BleepingComputer подтвердил, что прошлогодняя программа-вымогатель Black Kingdom также была вредоносным ПО на основе Python.
Неизбирательные атаки на неизбирательные серверы Exchange
Black Kingdom. вторая подтвержденная программа-вымогатель, нацеленная на непропатченные серверы Microsoft Exchange с использованием эксплойтов ProxyLogon.
Первым из них была программа-вымогатель DearCry, новый штамм, использованный в атаках, которые начались примерно через неделю после того, как Microsoft выпустила обновления безопасности ProxyLogon.
Злоумышленники, стоящие за атаками ProxyLogon, также наблюдались при краже учетных данных через дампы LSASS и развертывании вредоносного ПО для криптомайнинга.
В понедельник Microsoft сообщила, что примерно 92% всех локальных серверов Exchange, доступных через Интернет и затронутых уязвимостями ProxyLogon, теперь исправлены и защищены от продолжающихся атак.
По данным телеметрии RiskIQ, из 400 000 подключенных к Интернету серверов Exchange, пострадавших от недостатков ProxyLogon, когда Microsoft выпустила начальные исправления безопасности 2 марта, сейчас менее 30 000 все еще подвержены атакам.