Dan Goodin
– 23 mars 2021 21h45 UTC

Les serveurs Microsoft Exchange compromis lors d’une première série d’attaques sont infectés pour la deuxième fois par un gang de ransomwares qui tente de tirer profit d’une série d’exploits qui ont pris les organisations du monde entier au dépourvu.

Les pirates derrière ces attaques ont installé un shell Web qui permettait à toute personne connaissant l’URL de contrôler complètement les serveurs compromis Black Kingdom a été repéré la semaine dernière par la société de sécurité SpearTip Marcus Hutchins, chercheur en sécurité au sein de la société de sécurité Kryptos Logic, a rapporté dimanche que le logiciel malveillant ne chiffrait pas réellement les fichiers.

Quelqu’un vient d’exécuter ce script sur tous les serveurs Exchange vulnérables via la vulnérabilité ProxyLogon Il prétend être BlackKingdom « Ransomware », mais il ne semble pas crypter les fichiers, il ne fait que déposer une rançon dans tous les répertoires imageTwittercom / POYlPYGjsz

Mardi matin, Kevin Beaumont, analyste de Microsoft Threat Intelligence, a rapporté qu’une attaque du royaume noir «crypte effectivement les fichiers

Ransomware BlackKingdom sur mes serveurs personnels Il crypte en effet les fichiers Ils excluent c: windows, mais mes pilotes de stockage se trouvaient dans un dossier différent et ils les ont chiffrés ce qui signifie que le serveur ne démarre plus Si vous lisez BlackKingdom, excluez *fichiers sys picTwittercom / nUVUJTbcGO

Black Kingdom a été repéré en juin dernier par la société de sécurité RedTeam Le ransomware s’emparait des serveurs qui ne parvenaient pas à corriger une vulnérabilité critique dans le logiciel Pulse VPN Black Kingdom a également fait une apparition au début de l’année dernière

Brett Callow, analyste de la sécurité chez Emsisoft, a déclaré que la raison pour laquelle l’une des récentes attaques du Royaume noir n’avait pas réussi à chiffrer les données n’était pas claire.

« La version initiale a chiffré les fichiers, tandis qu’une version ultérieure les a simplement renommés », a-t-il écrit dans un e-mail. «Il n’est pas clair si les deux versions fonctionnent simultanément On ne sait pas non plus pourquoi ils ont modifié leur code – peut-être parce que le processus de changement de nom (faux chiffrement) ne serait pas détecté ou bloqué par les produits de sécurité? »

Il a ajouté qu’une version du ransomware utilise une méthode de cryptage qui, dans de nombreux cas, permet de restaurer les données sans payer de rançon. Il a demandé que la méthode ne soit pas détaillée pour empêcher les opérateurs du ransomware de corriger la faille

Ni Arete ni Beaumont n’ont indiqué si les attaques du royaume noir frappaient des serveurs qui n’avaient pas encore installé le correctif d’urgence de Microsoft ou si les attaquants prenaient simplement le contrôle de coquilles Web mal sécurisées installées précédemment par un autre groupe

Il y a deux semaines, Microsoft a signalé qu’une souche distincte de ransomware appelée DearCry s’emparait de serveurs qui avaient été infectés par Hafnium Hafnium est le nom que la société a donné aux pirates informatiques parrainés par l’État en Chine qui ont été les premiers à utiliser ProxyLogon, le nom donné à une chaîne d’exploits qui acquiert un contrôle complet sur les serveurs Exchange vulnérables.

La société de sécurité SpearTip, cependant, a déclaré que le ransomware ciblait les serveurs «après l’exploitation initiale des vulnérabilités disponibles de Microsoft Exchange.«Le groupe qui a installé le ransomware concurrent DearCry a également utilisé

Black Kingdom intervient alors que le nombre de serveurs vulnérables aux États-Unis est tombé à moins de 10 000, selon Politico, qui a cité un porte-parole du Conseil de sécurité nationale Il y avait environ 120000 systèmes vulnérables au début du mois

Comme le soulignent les attaques de ransomwares qui ont suivi, la correction des serveurs n’est pas loin d’être une solution complète à la crise actuelle des serveurs Exchange Même lorsque les serveurs reçoivent les mises à jour de sécurité, ils peuvent toujours être infectés par un ransomware s’il reste des shells Web.

Microsoft exhorte les organisations concernées qui ne disposent pas de personnel de sécurité expérimenté à exécuter ce script d’atténuation en un clic

Collection CNMN
Groupe de médias WIRED
© 2021 Condé Nast Tous les droits sont réservés L’utilisation et / ou l’enregistrement sur toute partie de ce site constitue une acceptation de notre accord d’utilisation (mis à jour le 1/1/20) et de notre politique de confidentialité et de notre déclaration sur les cookies (mis à jour le 1/1/20) et de l’addendum d’Ars Technica (en vigueur le 8/21 / 2018) Ars peut gagner une compensation sur les ventes à partir des liens sur ce site Lisez notre politique sur les liens d’affiliationVos droits en matière de confidentialité en Californie | Ne vendez pas mes informations personnelles
Le contenu de ce site ne peut être reproduit, distribué, transmis, mis en cache ou utilisé d’une autre manière, sauf avec l’autorisation écrite préalable de Condé NastChoix d’annonces

Microsoft Corporation, Microsoft Exchange Server, Ransomware, Sécurité informatique, Ordinateur, Patch

Actualités – États-Unis – Les opérateurs de ransomwares s’empilent sur des serveurs Exchange déjà piratés

Source: https://arstechnica.com/gadgets/2021/03/ransomware-operators-are-piling-on-already-hacked-exchange-servers/

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/