Los servidores de Microsoft Exchange comprometidos en la primera ronda de ataques están siendo infectados por segunda vez por la banda de ransomware que intenta aprovechar una serie de exploits que han plagado a organizaciones de todo el mundo con firmeza.
Los investigadores de seguridad dijeron que el ransomware, conocido como Black Kingdom, DEMON y DemonWare, está pidiendo $ 10,000 para recuperar datos cifrados. El malware se instala en servidores de Exchange que previamente han sido infectados por atacantes que explotan una peligrosa vulnerabilidad en el programa de correo electrónico de Microsoft. Los ataques comenzaron cuando la vulnerabilidad seguía yendo y viniendo. Incluso después de Microsoft Emitir una corrección de emergencia-Hasta 100.000 servidores no instalados a tiempo Fueron lesionados.
La oportunidad toca a tu puerta
Los piratas informáticos detrás de estos ataques han instalado un contenedor web que permite que cualquiera que conozca la URL tenga control total sobre los servidores comprometidos. Era el reino negro Visto la semana pasada Desarrollado por la empresa de seguridad SpearTip. Marcus Hutchins, investigador de seguridad de la firma de seguridad Kryptos Logic, informó el domingo que el malware fue Realmente no cifró los archivos.
Alguien ejecutó este script en todos los servidores Exchange vulnerables a través de la vulnerabilidad ProxyLogon. BlackKingdom afirma ser el «ransomware», pero no parece estar encriptando archivos, simplemente suelta un rescate no por todos los directorios. pic.twitter.com/POYlPYGjsz
– MalwareTech (@ MalwareTechBlog) 21 de marzo de 2021
El martes por la mañana, el analista de inteligencia de amenazas de Microsoft, Kevin Beaumont, informó que el ataque del Reino Negro «realmente está funcionando». Cifrado de archivos.
BlackKingdom ransomware en mis servidores personales. De hecho, cifra archivos. Excluyen c: windows, sin embargo, mis controladores de almacenamiento estaban en una carpeta diferente y los cifraron … lo que significa que el servidor ya no se inicia. Si ha estado leyendo BlackKingdom, excluya los archivos * .sys pic.twitter.com/nUVUJTbcGO
– Kevin Beaumont (@GossiTheDog) 23 de marzo de 2021
La empresa de seguridad Arete también el lunes Detecta ataques del reino negro.
Era el reino negro Visto en junio pasado Desarrollado por la empresa de seguridad RedTeam. El ransomware se estaba apoderando de los servidores que no pudieron reparar una falla grave en Pulse VPN. El reino negro también atrás A principios del año pasado.
No estaba claro por qué uno de los recientes ataques de Black Kingdom no logró cifrar los datos, dijo Brett Callow, analista de seguridad de Emsisoft.
«La versión inicial encriptaba los archivos, mientras que la versión posterior simplemente los renombraba», escribió en un correo electrónico. No está claro si ambas versiones funcionan simultáneamente. Tampoco está claro por qué se ha cambiado su código, tal vez porque el proceso de cambio de nombre (cifrado de suplantación de identidad) no será detectado o bloqueado por los productos de seguridad. «
Agregó que una de las versiones de ransomware utiliza un método de encriptación que en muchos casos permite recuperar datos sin pagar rescate. Pidió no detallar cómo evitar que los operadores de ransomware corrijan los errores.
Parchar no es suficiente
Arete y Beaumont no dijeron si los ataques del Reino Negro afectaron a servidores que aún no instalaron el parche de emergencia de Microsoft o si los atacantes simplemente estaban incautando shells web mal asegurados preinstalados por un grupo diferente.
Hace dos semanas, Microsoft informó que una cepa separada de ransomware llamada DearCry se estaba apoderando de los servidores que habían sido infectados con el virus por Hafnium. Hafnium es el nombre que la compañía le dio a los piratas informáticos patrocinados por el estado en China que fueron los primeros en usar ProxyLogon, el nombre dado a una serie de exploits que obtienen un control completo sobre los servidores Exchange vulnerables.
Sin embargo, la empresa de seguridad SpearTip dijo que el ransomware tenía como objetivo los servidores «después de la explotación inicial de las vulnerabilidades disponibles en Microsoft Exchange». El grupo que instala el ransomware DearCry de la competencia también se instaló en la parte posterior.
El Reino Negro viene con un número de servidores vulnerables en los EE. UU. Que cae por debajo de 10,000. a mi Politico, que citó a un portavoz del Consejo de Seguridad Nacional. Había alrededor de 120.000 sistemas vulnerables a principios de este mes.
Como confirman los ataques de ransomware posteriores, los servidores de parches no son ni mucho menos una solución completa para la actual crisis de Exchange Server. Incluso al instalar actualizaciones de seguridad, aún podrían infectarse con ransomware si quedan shells web.
Microsoft insta a las organizaciones afectadas que no tienen personal de seguridad experimentado a operar este es Secuencia de comandos de mitigación con un clic.