Серверы Microsoft Exchange попали под атаку вируса-вымогателя Black Kingdom — Bits Media

Создатель Николай Бондарчук Сначала марта в почтовых серверах Microsoft Exchange была найдена уязвимость ProxyLogon, позволяющая выполнить случайный код, и сейчас с ее помощью хакеры распространяют вирус-шифровальщик Black Kingdom.

Спец по компьютерной сохранности Маркус Хатчинс (Marcus Hutchins) нашел, что злоумышленники, получившие доступ к серверам через уязвимость ProxyLogon, при помощи скрипта на Powershell закачивают исполняемые файлы шифровальщика и распространяют их на остальные компы в сети. При всем этом во время тестов у Хатчинса шифрование не происходило — просто создавались файлы с требованием выкупа.

Может быть, Хатчинсу попалась 1-ая версия вируса, потому что, по данным с веб-сайта ID Ransomware, 1-ые инфецирования вирусом Black Kingdom начались 18 марта и на текущий момент их количество превосходит 30. Жертвами вируса оказались компании из самых различных государств, включая Россию, США, Францию, Израиль и Германию.

Опосля инфецирования компа вирус шифрует файлы и переименовывает их в случайном порядке. Судя по всему, злоумышленники употребляют один и этот же адресок для получения выкупа. Вообщем, и сумма выкупа схожа — $10 000 в биткоинах. На текущий момент, хакеры получили всего один платеж.

В летнюю пору 2020 года уже происходили случаи инфецирования вирусом под заглавием Black Kingdom, хотя пока непонятно, схож ли этот вирус новенькому. Вообщем, оба вируса написаны на языке программирования Python.

Ранее уязвимостью ProxyLogon хакеры пользовались для распространения вируса DearCry, но случаев инфецирования было очень мало. Также сделалось понятно, что хакерская группировка REvil запросила $50 млн в биткоинах у производителя компьютерного оборудования Acer. Возможно, хакеры просочились в сеть Acer в итоге использования уязвимости ProxyLogon.

Источник

Author: Zero