เซิร์ฟเวอร์ Microsoft Exchange ถูกโจมตีอีกครั้งหลังจากนักวิจัยด้านความปลอดภัยค้นพบแคมเปญใหม่ที่รู้จักกันในชื่อ "BlackKingdom" ซึ่งใช้ประโยชน์จากช่องโหว่ของ ProxyLogon เพื่อปรับใช้แรนซัมแวร์ ตามที่รายงานโดย BleepingComputer นักวิจัยด้านความปลอดภัย Marcus Hutchins จาก MalwareTechBlog ให้รายละเอียดเกี่ยวกับการค้นพบของเขาในทวีตล่าสุด โดยกล่าวว่า “มีคนเรียกใช้สคริปต์นี้บนเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่ทั้งหมดผ่านช่องโหว่ ProxyLogon มันอ้างว่าเป็น "แรนซัมแวร์" ของ BlackKingdom แต่ดูเหมือนจะไม่เข้ารหัสไฟล์ มันแค่ทิ้งบันทึกเรียกค่าไถ่ในทุกไดเร็กทอรี จากข้อมูลย้อนหลังของ honeypot ของฉัน ผู้โจมตีคนเดียวกันเรียกใช้สคริปต์ต่อไปนี้เมื่อสองสามวันก่อน แต่มันล้มเหลว “ในขณะที่ผู้โจมตีพยายามส่งแรนซัมแวร์ไปยังฮันนี่พอตของ Cackling พวกเขาไม่ได้เข้ารหัส ซึ่งบ่งชี้ว่าเขาเห็นการโจมตีที่ล้มเหลว
อาณาจักรสีดำ
แม้ว่าผู้โจมตีจะพยายามเข้ารหัส honeypots ของ Hutchin ไม่สำเร็จ แต่การส่งไปยังไซต์ระบุแรนซัมแวร์ ID Ransomware แสดงว่า BlackKingdom ประสบความสำเร็จในการเข้ารหัสอุปกรณ์ของเหยื่อรายอื่นในช่วงกลางเดือนมีนาคม จนถึงขณะนี้ BlackKingdom มีผู้ติดเชื้อในสหรัฐอเมริกา แคนาดา ออสเตรเลีย สวิตเซอร์แลนด์ รัสเซีย ฝรั่งเศส อิสราเอล สหราชอาณาจักร อิตาลี เยอรมนี กรีซ ออสเตรเลีย และโครเอเชีย เมื่อปรับใช้สำเร็จ แรนซัมแวร์จะเข้ารหัสไฟล์โดยใช้นามสกุลแบบสุ่ม จากนั้นจะทิ้งบันทึกเรียกค่าไถ่ชื่อ decrypt_file.TxT อย่างไรก็ตาม ในการสืบสวนของเขา Hutchins พบบันทึกเรียกค่าไถ่ที่เรียกว่า ReadMe.txt ซึ่งใช้ข้อความต่างกันเล็กน้อย บันทึกเรียกค่าไถ่ทั้งสองรายการขอให้เหยื่อจ่ายเงิน 10,000 ยูโรเป็นบิตคอยน์เพื่อถอดรหัสเซิร์ฟเวอร์ของพวกเขา นี่ไม่ใช่ครั้งแรกที่แรนซั่มแวร์ที่รู้จักกันในชื่อ BlackKingdom ถูกตรวจพบโดยธรรมชาติ ในเดือนมิถุนายนปีที่แล้ว มีการใช้แรนซัมแวร์ชื่อเดียวกันอีกตัวเพื่อประนีประนอมเครือข่ายองค์กรโดยใช้ประโยชน์จากช่องโหว่ใน Pulse VPN แม้ว่าจะยังไม่ได้รับการยืนยัน แต่ BlackKingdom ransomware ทั้งสองเวอร์ชันเขียนด้วย Python แรนซั่มแวร์อีกตัวที่รู้จักกันในชื่อ DearCry ยังใช้เปิดการโจมตีเซิร์ฟเวอร์ Microsoft Exchange โดยใช้ประโยชน์จากช่องโหว่ ProxyLogon เมื่อต้นเดือนนี้ ผ่าน Bleeping Computer