根据安全研究人员的最新报告,一种名为“BlackKingdom”的新型勒索病毒已经出现,该勒索病毒主要利用MicrosoftExchange服务器的ProxyLogon漏洞来加密服务器数据并实施勒索软件攻击。就在上周末,安全研究员MarcusHutchins(又名MalwareTechBlog)在推特上表示,攻击者正在利用ProxyLogon漏洞破坏MicrosoftExchange服务器并在受损设备上部署勒索软件。根据研究人员部署的蜜罐日志,Hutchins表示,攻击者利用该漏洞在目标设备上执行PowerShell脚本,该脚本会从“yuuuuu44[.]com”下载并执行勒索软件,然后使用受感染设备将勒索软件推送到目标设备网络上的其他计算机设备。众所周知,蜜罐是一种被技术人员暴露在互联网上的存在各种安全漏洞的设备,主要用于引诱攻击者对其进行攻击并监控其活动。不过哈钦斯的蜜罐系统似乎并没有加密,所以他当时目睹的这次攻击可以算是一次失败的攻击。然而,根据提交给勒索软件识别网站IDRansomware的信息,“黑色王国”活动已成功加密许多其他目标用户的设备,首次提交发生在2021年3月18日。IDRansomware创始人迈克尔吉莱斯皮,一家勒索病毒识别网站,在接受安全媒体采访时表示,已经向其网站系统提交了30多个不同的恶意软件样本,其中有不少是直接通过邮件服务器提交的。据了解,“黑色王国”的目标用户分布在美国、加拿大、奥地利、瑞士、俄罗斯、法国、以色列、英国、意大利、德国、希腊、澳大利亚、克罗地亚等国家和地区.在加密目标设备时,“BlackKingdom”勒索软件会使用随机扩展名加密文件,然后创建一条名为decrypt_file.TxT的勒索信息。但哈钦斯表示,他观察到的勒索软件文件名为ReadMe.txt,其内容略有不同。据研究人员介绍,目前所有的勒索信息都要求目标用户支付价值10000美元的比特币作为数据赎金,使用的比特币钱包地址为“1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT”。目前,这个比特币钱包在2021年3月18日才收到一笔付款,里面的比特币随后被转移到其他钱包。值得一提的是,2020年6月的一次攻击中还出现了名为“BlackKingdom”的勒索病毒,当时该勒索病毒可以利用PulseVPN漏洞对目标企业漏洞进行攻击。不过,目前没有证据表明这两款勒索软件是同一种。不过,哈钦斯表示,这个“黑色王国”的可执行文件现在是Python脚本编译成Windows可执行文件,而2020年6月的“黑色王国”也是使用Python编程语言开发的。如果你不幸成为“黑色王国”的受害者,可以向网络安全公司Emsisoft寻求文件恢复方面的帮助。据了解,“黑色王国”是目前第二个被确认的针对MicrosoftExchangeProxyLogon漏洞的勒索病毒,第一是本月初被曝光的DearCry勒索病毒。近日,电子产品厂商宏碁(Acer)也遭遇了REvil勒索软件攻击,而此次攻击也疑似是利用ProxyLogon漏洞进行的,但这一说法尚未得到证实。
