在第一轮攻击中受损的Microsoft Exchange服务器正第二次受到勒索软件团伙的感染,该团伙试图从一连串攻击中获利,这些攻击让世界各地的机构措手失措。
安全研究人员称,被称为“黑王国”、“恶魔”和“恶魔”的勒索软件要求1万美元才能恢复加密数据。恶意软件安装在Exchange服务器上,这些服务器以前曾被攻击者利用微软电子邮件程序中的一个关键漏洞感染。攻击在漏洞还处于零日时就开始了。即使在微软发布紧急补丁在美国,有多达10万台服务器没有及时安装被感染.机会敲门
这些攻击背后的黑客安装了一个web shell,允许任何知道URL的人完全控制被入侵的服务器。黑色的王国上周发现由安全公司SpearTip发起。安全公司Kryptos Logic的安全研究员马库斯·哈钦斯(Marcus Hutchins)周日报告称,该恶意软件实际上并没有加密文件.
有人刚刚通过ProxyLogon漏洞在所有易受攻击的Exchange服务器上运行了这个脚本。它自称是“黑王国勒索软件”,但它似乎不加密文件,只是释放赎金不是到每个目录。pic.twitter.com/POYlPYGjsz
- MalwareTech (@MalwareTechBlog)2021年3月21日
周二上午,微软威胁情报分析师凯文·博蒙特(Kevin Beaumont)报告称,黑王国的攻击“确实如此加密文件.
黑王国勒索软件在我的个人服务器上。它确实加密了文件。它们排除了c:\windows,但我的存储驱动程序在不同的文件夹,它加密了那些…这意味着服务器不再启动。如果你正在阅读《BlackKingdom》,请排除*。sys文件pic.twitter.com/nUVUJTbcGO
——凯文·博蒙特(@八卦狗)2021年3月23日
安全公司Arete周一也表示披露的黑王国攻击.
黑色的王国发现去年6月安全公司RedTeam。勒索软件控制了那些未能修补Pulse VPN软件中的一个关键漏洞的服务器。黑色王国也出现在去年年初。
Emsisoft的安全分析师布雷特·卡洛(Brett Callow)说,目前还不清楚为什么“黑王国”最近的一次攻击未能加密数据。
他在一封电子邮件中写道:“最初的版本对文件进行了加密,随后的版本只是对文件进行了重命名。”“目前还不清楚两个版本是否同时运行。他们更改代码的原因也不清楚——也许是因为重命名(假加密)过程不会被安全产品检测或阻止?”
他补充说,该勒索软件的一个版本使用了一种加密方法,在许多情况下,不需要支付赎金就可以恢复数据。他要求不详细说明该方法,以防止勒索软件的操作人员修复漏洞。
修补是不够的
阿雷特和博蒙特都没有说,“黑王国”攻击的是尚未安装微软紧急补丁的服务器,还是攻击者只是接管了另一个组织早些时候安装的安全状况不佳的网络炮弹。
两周前,微软报告称,另一种名为DearCry的勒索软件正在控制被铪感染的服务器。Hafnium是该公司给最先使用ProxyLogon的中国政府支持黑客起的名字。ProxyLogon指的是一系列能够完全控制易受攻击的Exchange服务器的攻击。
然而,安全公司SpearTip表示,“在最初利用了可用的微软交易所漏洞后”,勒索软件瞄准了服务器。安装与之竞争的DearCry勒索软件的组织也搭上了便车。
“黑王国”出现之际,美国受攻击的服务器数量已降至不足1万台,根据Politico网站援引国家安全委员会发言人的话说。本月早些时候,大约有12万个脆弱的系统。
正如后续的勒索软件攻击所突显的那样,对服务器打补丁并不能完全解决正在进行的Exchange服务器危机。即使服务器收到安全更新,如果有任何web shell仍然存在,它们仍然可能被勒索软件感染。
微软正在敦促没有经验丰富的安全人员的受影响组织运行这一键式缓解脚本。
16个读者评论
我觉得粗体字是打错了。
免责声明:在你阅读这篇评论的时候,这个错别字可能已经修复了。
我本想找个笑话,但一个无聊的工作日让我太累了。
Ars修复吗?
我觉得粗体字是打错了。
免责声明:在你阅读这篇评论的时候,这个错别字可能已经修复了。
但是但是…有人向我保证,犯罪分子不会使用比特币,因为区块链太容易追踪了,而且现在人们只在合法的目的上使用比特币。
我在哪里读到过,这是在政府要求他们之后才发生的。
你只需要导航到这个网站并单击以修复您的Exchange。确保你使用IE,否则它将无法正常工作。
我还以为那个梗已经结束了。
似乎这样的时刻即将到来,那些戏剧性的攻击足以让人们远离(无论是出于无知还是出于否认)操作邮件服务器,而这些邮件服务器已经被黑了20多天,现在看起来就像是一场安乐死。
您的交换服务器是不你想让真正有能力的人或有耐心的人悄悄控制的东西;一个脚本儿童勒索软件攻击至少使事情摆脱了痛苦,并迫使您修复它;而不是让一个充满敌意的第三方拥有你的整个电子邮件流,这意味着所有诱人的BEC潜力。
你只需要导航到这个网站并单击以修复您的Exchange。确保你使用IE,否则它将无法正常工作。
我还以为那个梗已经结束了。
不,它永远不会放弃你
我喜欢这个呼吁/告诫BlackKingdom开发一个合适的工具。
我喜欢这个呼吁/告诫BlackKingdom开发一个合适的工具。
一方面是“你们这样是拿不到钱的,傻瓜”,一方面是公开羞辱,另一方面是他不得不亮出他的蜜罐的烦恼。
你只需要导航到这个网站并单击以修复您的Exchange。确保你使用IE,否则它将无法正常工作。
我还以为那个梗已经结束了。
不,它永远不会放弃你
永远不会让你失望?
永远不会转身抛弃你吗?
你只需要导航到这个网站并单击以修复您的Exchange。确保你使用IE,否则它将无法正常工作。
我还以为那个梗已经结束了。
最好的猎人会埋伏等待,直到猎物不再可疑。或者他们继续搞零日派对。
我喜欢这个呼吁/告诫BlackKingdom开发一个合适的工具。
一方面是“你们这样是拿不到钱的,傻瓜”,一方面是公开羞辱,另一方面是他不得不亮出他的蜜罐的烦恼。
至少让它的破坏性小一点是有道理的。如果是用砖头砸服务器,那就像绑架者把一个袋子扔在受害者的头上,然后把绳子绑在底部,绑得非常紧,这样它就不会掉下来。限制了给出"否则"的能力。
你必须登录或创建帐户置评。