在最近针对MicrosoftExchange服务器的ProxyLogon攻击中,研究人员发现了BlackKingdom勒索软件,该软件目前通过简单的密码重置被阻止,至少是暂时被阻止。Emsisoft威胁分析师BrettCallow告诉SearchSecurity,BlackKingdom旨在生成加密密钥并将其上传到云存储服务Mega。不过,他补充说,如果勒索软件无法访问Mega,它会默认使用静态本地密钥。在最近的攻击中,BlackKingdom似乎无法加密目标系统,在某些情况下默认使用静态密钥。“有人将密码更改为Mega帐户,这意味着勒索软件无法访问该密码,并恢复使用硬编码密钥,这意味着我们可以帮助人们恢复他们的数据,因为我们拥有硬编码密钥,”Callow说。虽然不清楚密码何时更改,但卡洛在周一早上将这一消息告知了SearchSecurity(SearchSecurity同意不立即发布该信息,以免让BlackKingdom威胁演员知道其勒索软件已被入侵)。在博客文章中,Sophos下一代技术工程总监MarkLoman谈到了勒索软件与Mega的内在联系。Loman告诉SearchSecurity,由于有一个静态密钥加密器,因此也可以使用该静态密钥进行解密。他还确认勒索软件无法连接到Mega。“目前,勒索软件无法连接到Mega,因为我已经尝试了用户名和密码。所以这意味着如果当前有BlackKingdom勒索软件攻击受害者,他们可能会受到另一个新版本的攻击,或者使用另一个用户名或凭据,你可以用静态密钥解密它,但你仍然需要一个解密器。”在一封电子邮件中,Callow解释说情况仍然如此,当前版本的BlackKingdom仍然是恐吓软件;微软的早期报告称勒索软件实际上并没有加密系统,尽管洛曼在一篇博客文章中指出至少有一名受害者已经支付了赎金。Callow说,这可能意味着攻击者已经放弃将BlackKingdom变成直接的勒索软件活动。“攻击者可能有技术或其他问题,所以他们决定将其转换成恐吓软件,希望他们还能赚到一些钱。”Loman表示,这是他第一次看到Mega用于存储加密密钥,而且,通常勒索软件使用的是公/私RSA方案。他补充说,大型勒索软件团体在数据泄露过程中经常使用Mega和Dropbox等文件存储服务,因为这些服务通常不会被防火墙阻止。Mega由Megaupload的创始人KimDotcom于2013年创立。此前一年,Megaupload因盗版和侵犯版权的指控被美国司法部查封;Dotcom在2015年与Mega断绝了联系。Loman表示,BlackKingdom密钥存储并不表明Mega在道德上存在问题,因为该网站无法立即检测到它。Mega执行主席斯蒂芬霍尔在一封电子邮件中告诉SearchSecurity:“我们没有记录特定的勒索软件可能会导致上传到Mega。我们只是立即关闭上传者的帐户,以防止进一步传播受影响的数据。”黑色王国针对易受攻击的MicrosoftExchange服务器的最新威胁随着本月早些时候披露的四个零日漏洞的影响而继续扩大。周二,威胁情报供应商KryptosLogic在其ProxyLogon扫描期间报告了100,000个活跃的Webshell。
