عملية
أخرى لفايروس الفدية ransomware تعرف باسم "BlackKingdom" تستغل نقاط
الضعف في Microsoft Exchange Server ProxyLogon لتشفير الخوادم.
خلال عطلة نهاية الأسبوع، قام الباحث الأمني Marcus Hutchins، المعروف أيضًا باسم MalwareTechBlog، بالتغريد بأن أحد الفاعلين المهددين كان يهدد خوادم Microsoft Exchange عبر ثغرات ProxyLogon لنشر برامج الفدية.
بناءً على السجلات من مواضع الجذب الخاصة به. ينص Hutchins على أن الفاعل المهدد استخدم الثغرة الأمنية لتنفيذ برنامج نصي من PowerShell يقوم بتنزيل برنامج الفدية القابل للتنفيذ من "yuuuuu44 [.] com" ثم دفعه إلى أجهزة الكمبيوتر الأخرى على الشبكة.
مواضع الجذب هي أجهزة بها نقاط ضعف معروفة ومعرضة على الإنترنت لجذب المهاجمين ومراقبة أنشطتهم. على الرغم من ذلك، لم يتم تشفير مواضع الجذب الخاصة بهتشينز، ويعتقد أن الهجوم الذي شاهده كان حملة فاشلة.
خلال عطلة نهاية الأسبوع، قام الباحث الأمني Marcus Hutchins، المعروف أيضًا باسم MalwareTechBlog، بالتغريد بأن أحد الفاعلين المهددين كان يهدد خوادم Microsoft Exchange عبر ثغرات ProxyLogon لنشر برامج الفدية.
بناءً على السجلات من مواضع الجذب الخاصة به. ينص Hutchins على أن الفاعل المهدد استخدم الثغرة الأمنية لتنفيذ برنامج نصي من PowerShell يقوم بتنزيل برنامج الفدية القابل للتنفيذ من "yuuuuu44 [.] com" ثم دفعه إلى أجهزة الكمبيوتر الأخرى على الشبكة.
مواضع الجذب هي أجهزة بها نقاط ضعف معروفة ومعرضة على الإنترنت لجذب المهاجمين ومراقبة أنشطتهم. على الرغم من ذلك، لم يتم تشفير مواضع الجذب الخاصة بهتشينز، ويعتقد أن الهجوم الذي شاهده كان حملة فاشلة.
Someone just ran this script on all vulnerable Exchange servers via ProxyLogon vulnerability. It claims to be BlackKingdom "Ransomware", but it doesn't appear to encrypt files, just drops a ransom not to every directory. pic.twitter.com/POYlPYGjsz
— MalwareTech (@MalwareTechBlog) March 21, 2021
ومع ذلك، بناءً على عمليات الإرسال إلى موقع ID Ransomware على موقع تعريف برامج الفدية، قامت حملة BlackKingdom بتشفير أجهزة الضحايا الأخرى، مع ظهور عمليات الإرسال الأولى في 18 مارس.
يقع الضحايا في الولايات المتحدة الأمريكية وكندا والنمسا وسويسرا وروسيا وفرنسا وإسرائيل والمملكة المتحدة وإيطاليا وألمانيا واليونان وأستراليا وكرواتيا.
عند تشفير الأجهزة، سيقوم برنامج الفدية بتشفير الملفات باستخدام ملحقات عشوائية ثم إنشاء مذكرة فدية باسم decrypt_file.TxT، كما هو موضح أدناه.
يقع الضحايا في الولايات المتحدة الأمريكية وكندا والنمسا وسويسرا وروسيا وفرنسا وإسرائيل والمملكة المتحدة وإيطاليا وألمانيا واليونان وأستراليا وكرواتيا.
عند تشفير الأجهزة، سيقوم برنامج الفدية بتشفير الملفات باستخدام ملحقات عشوائية ثم إنشاء مذكرة فدية باسم decrypt_file.TxT، كما هو موضح أدناه.
تطلب
جميع ملاحظات الفدية 10000 دولار من عملة Bitcoin وتستخدم نفس عنوان
Bitcoin (1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT) للدفع. تلقى عنوان Bitcoin
هذا دفعة واحدة فقط في 18 مارس، والتي تم تحويلها منذ ذلك الحين إلى عنوان
آخر.
تم استخدام برنامج فدية آخر يُعرف باسم BlackKingdom سابقًا في هجمات يونيو 2020 عندما تم اختراق شبكات الشركات باستخدام ثغرات Pulse VPN.
تم استخدام برنامج فدية آخر يُعرف باسم BlackKingdom سابقًا في هجمات يونيو 2020 عندما تم اختراق شبكات الشركات باستخدام ثغرات Pulse VPN.
على الرغم من أنه لم يتم تأكيد ما إذا كانت الهجمات الأخيرة وتلك التي
حدثت في صيف 2020 هي نفسها، إلا أن Hutchins ينص على أن برنامج الفدية
الحالي القابل للتنفيذ هو نص برمجي Python تم تجميعه في ملف Windows قابل
للتنفيذ. تم أيضًا ترميز BlackKingdom ransomware من يونيو 2020 في Python.
BlackKingdom هو ثاني برنامج فدية مؤكد يستهدف الثغرات الأمنية في Microsoft Exchange ProxyLogon. الأول كان برنامج الفدية DearCry الذي تم استخدامه في هجمات محدودة في وقت سابق من الشهر.
في الآونة الأخيرة، عانت شركة Acer الرائدة في صناعة الإلكترونيات من هجوم REvil Ransomware يشتبه في أنه تم إجراؤه من خلال ثغرات ProxyLogon. ومع ذلك، لم يتم تأكيد ذلك.
