Les serveurs Microsoft Exchange sont à nouveau attaqués car un chercheur en sécurité a découvert une nouvelle campagne connue sous le nom de «BlackKingdom» qui exploite les vulnérabilités ProxyLogon pour déployer un ransomware.
Tel que rapporté par BleepingOrdinateur, le chercheur en sécurité Marcus Hutchins de MalwareTechBlog a détaillé sa découverte dans un récent série de tweets, en disant:
«Quelqu’un vient d’exécuter ce script sur tous les serveurs Exchange vulnérables via la vulnérabilité ProxyLogon. Il prétend être BlackKingdom « Ransomware », mais il ne semble pas crypter les fichiers, il dépose simplement une note de rançon dans chaque répertoire. D’après le backlog de mon pot de miel, le même attaquant a exécuté le script suivant quelques jours auparavant, mais il a échoué. «
Alors que les attaquants ont essayé de pousser le ransomware sur les pots de miel de Hutchins, ils ne se sont pas chiffrés, ce qui suggère qu’il a été témoin d’une attaque ratée.
Sommaire
BlackKingdom
Bien que les attaquants aient tenté en vain de chiffrer les pots de miel de Hutchin, les soumissions au site d’identification du ransomware ID Ransomware montrent que BlackKingdom a réussi à chiffrer les appareils d’autres victimes à la mi-mars.
Jusqu’à présent, BlackKingdom a infecté des victimes aux États-Unis, au Canada, en Australie, en Suisse, en Russie, en France, en Israël, au Royaume-Uni, en Italie, en Allemagne, en Grèce, en Australie et en Croatie.
Lorsqu’il est déployé avec succès, le ransomware crypte les fichiers à l’aide d’extensions aléatoires, puis laisse une note de rançon nommée decrypt_file.TxT. Cependant, dans ses recherches, Hutchins a trouvé une note de rançon différente nommée ReadMe.txt qui utilisait un texte légèrement différent. Les deux notes de rançon demandent aux victimes de payer 10000 dollars en bitcoins pour déchiffrer leurs serveurs.
Ce n’est pas la première fois qu’un ransomware connu sous le nom de BlackKingdom est observé dans la nature. En juin de l’année dernière, un autre ransomware du même nom a été utilisé pour compromettre les réseaux d’entreprise en exploitant les vulnérabilités de Pulse VPN. Bien que cela n’ait pas encore été confirmé, les deux versions du ransomware BlackKingdom ont été écrites en Python.
Un autre ransomware connu sous le nom de DearCry a également été utilisé pour lancer des attaques contre les serveurs Microsoft Exchange en exploitant les vulnérabilités ProxyLogon au début du mois.
Via BleepingComputer
