Los servidores de Microsoft Exchange son atacados nuevamente
Los servidores de Microsoft Exchange están bajo ataque nuevamente después de que un investigador de seguridad descubrió una nueva campaña conocida como «BlackKingdom» que explota las vulnerabilidades de ProxyLogon para implementar ransomware.

Según lo informado por BleepingComputer, el investigador de seguridad Marcus Hutchins de MalwareTechBlog detalló su descubrimiento en una serie reciente de tweets, diciendo:

“Alguien acaba de ejecutar este script en todos los servidores Exchange vulnerables a través de la vulnerabilidad ProxyLogon. Afirma ser «Ransomware» de BlackKingdom, pero no parece cifrar archivos, simplemente deja caer una nota de rescate en cada directorio. Según mi backlog de honeypot, el mismo atacante ejecutó el siguiente script hace unos días, pero falló. »

Si bien los atacantes intentaron enviar el ransomware a los honeypots de Cackling, no se cifraron, lo que sugiere que fue testigo de un ataque fallido.

NegroReino

Aunque los atacantes intentaron sin éxito cifrar los honeypots de Hutchin, los envíos al sitio de identificación de ransomware ID Ransomware muestran que BlackKingdom logró cifrar los dispositivos de otras víctimas a mediados de marzo.

Hasta ahora, BlackKingdom ha infectado a víctimas en Estados Unidos, Canadá, Australia, Suiza, Rusia, Francia, Israel, Reino Unido, Italia, Alemania, Grecia, Australia y Croacia.

Cuando se implementa con éxito, el ransomware cifra los archivos utilizando extensiones aleatorias y luego deja una nota de rescate llamada decrypt_file.TxT. Sin embargo, en su investigación, Hutchins encontró una nota de rescate diferente llamada ReadMe.txt que usaba texto ligeramente diferente. Ambas notas de rescate piden a las víctimas que paguen € 10,000 en bitcoins para descifrar sus servidores.

Esta no es la primera vez que se observa en la naturaleza un ransomware conocido como BlackKingdom. En junio del año pasado, se utilizó otro ransomware del mismo nombre para comprometer las redes corporativas mediante la explotación de vulnerabilidades en Pulse VPN. Aunque aún no se ha confirmado, ambas versiones del ransomware BlackKingdom se escribieron en Python.

Otro ransomware conocido como DearCry también se utilizó para lanzar ataques contra los servidores de Microsoft Exchange explotando las vulnerabilidades de ProxyLogon a principios de este mes.

Vía BleepingComputer

Share This