Plus tôt cette année, les serveurs Microsoft Exchange ont été ciblés par des cybercriminels qui ont utilisé une vulnérabilité connue pour les infecter avec le ransomware Black Kingdom.
Aujourd’hui, la société de cybersécurité Kaspersky a publié un nouveau rapport qui fournit des informations supplémentaires sur le fonctionnement de cette souche de ransomware, ainsi que de nouveaux détails sur les cybercriminels qui la sous-tendent.
Alors que le ransomware Black Kingdom est apparu pour la première fois en 2019, il est devenu largement connu en mars de cette année lorsqu’il a été utilisé dans une campagne qui exploitait la vulnérabilité ProxyLogon, suivie sous le nom CVE-2021-27065, dans Microsoft Exchange.
Cependant, sur la base de l’analyse de Kaspersky du ransomware, il s’agit d’une implémentation amateur avec plusieurs erreurs et une faille de cryptage critique qui pourrait permettre à quiconque de décrypter les fichiers concernés à l’aide d’une clé codée en dur.
Sommaire
Le ransomware Black Kingdom
Bien que le but ultime de toute souche de ransomware soit de crypter les fichiers d’un système, l’auteur de la souche de ransomware Black Kingdom, qui est codée en Python, a décidé de spécifier certains dossiers à exclure du cryptage.
Le ransomware évite de crypter les fichiers Windows, ProgramData, Program Files, Program Filex (x86), AppData/Roaming, AppData/LocalLow et AppData/Local sur un système ciblé afin d’éviter de le casser pendant le cryptage. Cependant, la manière dont le code qui implémente cette fonctionnalité est écrit était un signe clair pour Kaspersky que ses créateurs étaient peut-être des amateurs.
Les développeurs de Ransowmare finissent souvent par commettre des erreurs qui peuvent permettre de décrypter facilement les fichiers, voire pas du tout. Le ransomware Black Kingdom, par exemple, essaie de télécharger sa clé de cryptage sur le service de stockage en nuage Mega, mais si cela échoue, une clé codée en dur est utilisée pour crypter les fichiers à la place. Si les fichiers d’un système ont été cryptés et qu’il ne parvient pas à se connecter à Mega, il sera alors possible de récupérer ces fichiers cryptés à l’aide d’une clé codée en dur.
Une autre erreur commise par les créateurs de Black Kingdom et observée par les chercheurs de Kaspersky est le fait que toutes leurs notes de ransomware contiennent plusieurs erreurs ainsi que la même adresse Bitcoin. D’autres familles de ransomware fournissent une adresse unique pour chaque victime, ce qui rend beaucoup plus difficile de déterminer qui a créé le malware qu’ils ont utilisé en premier lieu.
Le ransomware Black Kingdom n’est pas utilisé par les cybercriminels pour le moment pour lancer des attaques, mais les organisations doivent être prêtes à anticiper sa réapparition. Pour cette raison, les organisations vulnérables devraient examiner de plus près le rapport de Kapsersky et, si elles ne l’ont pas encore fait, corriger leurs serveurs Microsoft Exchange à l’aide de l’outil en un clic de l’entreprise pour le faire.
