Saltar al contenido
computerg

🥇 Sistemas De Microsoft Atacados Por El Ransomware “Black Kingdom”

junio 18, 2021


A principios de este año, los servidores de Microsoft Exchange fueron atacados por ciberdelincuentes que utilizaron una vulnerabilidad conocida para infectarlos con el ransomware Black Kingdom.

Hoy, la firma de ciberseguridad Kaspersky publicó un nuevo informe que brinda información adicional sobre cómo funciona esta variedad de ransomware, así como nuevos detalles sobre los ciberdelincuentes detrás de ella.

Si bien el ransomware Black Kingdom apareció por primera vez en 2019, se hizo ampliamente conocido en marzo de este año cuando se usó en una campaña que explotó la vulnerabilidad ProxyLogon, seguida como CVE-2021-27065, en Microsoft Exchange.

Sin embargo, según el análisis de Kaspersky del ransomware, se trata de una implementación amateur con varios errores y una falla de cifrado crítica que podría permitir que cualquiera descifre los archivos afectados utilizando una clave codificada.

Ransomware Reino Negro

Si bien el objetivo final de cualquier cepa de ransomware es cifrar archivos en un sistema, el autor de la cepa de ransomware Black Kingdom, que está codificada en Python, ha decidido especificar ciertas carpetas para que se excluyan del cifrado.

El ransomware evita el cifrado de archivos de Windows, ProgramData, Program Files, Program Filex (x86), AppData / Roaming, AppData / LocalLow y AppData / Local en un sistema específico para evitar romperlo durante el cifrado. Sin embargo, la forma en que está escrito el código que implementa esta función fue una señal clara para Kaspersky de que sus creadores pueden haber sido aficionados.

Los desarrolladores de Ransowmare a menudo terminan cometiendo errores que pueden permitir que los archivos se descifren fácilmente, si es que lo hacen. El ransomware Black Kingdom, por ejemplo, intenta cargar su clave de cifrado en el servicio de almacenamiento en la nube Mega, pero si eso falla, se utiliza una clave codificada para cifrar los archivos. Si los archivos de un sistema se han cifrado y no se conecta a Mega, entonces será posible recuperar esos archivos cifrados con una clave codificada.

Otro error cometido por los creadores de Black Kingdom y observado por los investigadores de Kaspersky es que todas sus notas de ransomware contienen varios errores junto con la misma dirección de Bitcoin. Otras familias de ransomware proporcionan una dirección única para cada víctima, lo que dificulta mucho más determinar quién creó el malware que utilizaron en primer lugar.

Los ciberdelincuentes no utilizan actualmente el ransomware Black Kingdom para lanzar ataques, pero las organizaciones deben estar preparadas para anticipar su reaparición. Pour cette raison, les organisations vulnérables devraient examiner de plus près le rapport de Kapsersky et, si elles ne l’ont pas encore fait, corriger leurs serveurs Microsoft Exchange à l’aide de l’outil en un clic de l’entreprise pour le hacer.


Source link