Black Kingdom正在利用Exchange漏洞制造勒索软件
|
根据该研究人员部署的蜜罐的日志记录,Hutchins表示,攻击者利用该漏洞来在目标设备上执行了一个PowerShell脚本,该脚本将从“yuuuuu44[.]com”下载并执行勒索软件,然后再利用受感染设备将勒索软件推送到网络中的其他计算机设备中。 众所周知,蜜罐是技术人员专门暴露在互联网中的存在各种安全漏洞的设备,主要用于引诱攻击者对其进行攻击并监视其活动。不过,Hutchins的蜜罐系统似乎并没有被加密,因此他当时亲眼目睹的攻击可以算是一次失败的攻击了。 然而,根据提交至勒索软件识别网站ID Ransomware的信息来看,“Black Kingdom”活动已经成功加密了很多其他目标用户的设备,而第一次提交是发生在2021年3月18日。 勒索软件识别网站ID Ransomware的创始人Michael Gillespie在接受安全媒体采访时表示,目前已经有30多分不同的恶意软件样本提交到了他的网站系统中,而且很多都是直接通过邮件服务器提交的。 据了解,“Black Kingdom”的目标用户分布在美国、加拿大、奥地利、瑞士、俄罗斯、法国、以色列、英国、意大利、德国、希腊、澳大利亚和克罗地亚等国家和地区。 在对目标设备进行加密时,“Black Kingdom”勒索软件将使用随机扩展名加密文件,然后创建一个名为decrypt_file.TxT的勒索信息。但Hutchins表示,他所观察到的勒索软件文件名为ReadMe.txt,而且其中的内容也有些许不同。 研究人员表示,目前所有的勒索信息都要求目标用户支付价值1万美元的比特币作为数据赎金,并且使用的比特币钱包地址均为“1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT”。目前,这个比特币钱包只在2021年3月18日收到了一笔付款,随后其中的比特币又被转移到了其他钱包。 值得一提的是,2020年6月份的一次攻击活动中也曾出现过一个名为“BlackKingdom”的勒索软件,当时这款勒索软件可以利用Pulse VPN漏洞来对目标企业漏洞实施攻击。 不过,目前还没有任何证据可以表明这两款勒索软件是同一个。不过Hutchins表示,现在这款“Black Kingdom”的可执行文件是编译成Windows可执行文件的Python脚本,而2020年6月的“BlackKingdom”同样也是使用Python编程语言开发的。
(编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
