Saltar al contenido
computerg

ūü•á Los Servidores De Microsoft Exchange Son Atacados Nuevamente

marzo 22, 2021


Los servidores de Microsoft Exchange est√°n bajo ataque nuevamente despu√©s de que un investigador de seguridad descubri√≥ una nueva campa√Īa conocida como ¬ęBlackKingdom¬Ľ que explota las vulnerabilidades de ProxyLogon para implementar ransomware.

Seg√ļn lo informado por BleepingComputer, el investigador de seguridad Marcus Hutchins de MalwareTechBlog detall√≥ su descubrimiento en una serie reciente de tweets, diciendo:

‚ÄúAlguien acaba de ejecutar este script en todos los servidores Exchange vulnerables a trav√©s de la vulnerabilidad ProxyLogon. Afirma ser ¬ęRansomware¬Ľ de BlackKingdom, pero no parece cifrar archivos, simplemente deja caer una nota de rescate en cada directorio. Seg√ļn mi backlog de honeypot, el mismo atacante ejecut√≥ el siguiente script hace unos d√≠as, pero fall√≥. ¬Ľ

Si bien los atacantes intentaron enviar el ransomware a los honeypots de Cackling, no se cifraron, lo que sugiere que fue testigo de un ataque fallido.

NegroReino

Aunque los atacantes intentaron sin éxito cifrar los honeypots de Hutchin, los envíos al sitio de identificación de ransomware ID Ransomware muestran que BlackKingdom logró cifrar los dispositivos de otras víctimas a mediados de marzo.

Hasta ahora, BlackKingdom ha infectado a víctimas en Estados Unidos, Canadá, Australia, Suiza, Rusia, Francia, Israel, Reino Unido, Italia, Alemania, Grecia, Australia y Croacia.

Cuando se implementa con √©xito, el ransomware cifra los archivos utilizando extensiones aleatorias y luego deja una nota de rescate llamada decrypt_file.TxT. Sin embargo, en su investigaci√≥n, Hutchins encontr√≥ una nota de rescate diferente llamada ReadMe.txt que usaba texto ligeramente diferente. Ambas notas de rescate piden a las v√≠ctimas que paguen ‚ā¨ 10,000 en bitcoins para descifrar sus servidores.

Esta no es la primera vez que se observa en la naturaleza un ransomware conocido como BlackKingdom. En junio del a√Īo pasado, se utiliz√≥ otro ransomware del mismo nombre para comprometer las redes corporativas mediante la explotaci√≥n de vulnerabilidades en Pulse VPN. Aunque a√ļn no se ha confirmado, ambas versiones del ransomware BlackKingdom se escribieron en Python.

Otro ransomware conocido como DearCry también se utilizó para lanzar ataques contra los servidores de Microsoft Exchange explotando las vulnerabilidades de ProxyLogon a principios de este mes.

Vía BleepingComputer


Source link