Lorsque Microsoft a annoncé avoir découvert un groupe de menaces parrainé par l’État, Hafnium, exploitait quatre vulnérabilités zero-day distinctes, la communauté InfoSec examinait déjà leur boule de cristal pour prédire quand d’autres groupes et cybercriminels allaient essayer la même méthode d’exploitation Ils n’ont pas eu à attendre longtemps Malgré un nombre record d’organisations corrigeant les failles, d’autres pirates ont rapidement sauté à bord d’Exchange Server Express Plusieurs souches de ransomwares ont déjà été distribuées pour exploiter ces failles

Les vulnérabilités, une collection de quatre au total, ont été surnommées ProxyLogon En cas d’abus d’une manière spécifique, ProxyLogon accordera à l’attaquant un accès initial au réseau compromis de la victime Au départ, Hafnium a déployé des web shells sur le serveur Exchange désormais compromis pour exfiltrer des données précieuses à l’insu de la victime Cette méthode d’accès initial aux serveurs Exchange vulnérables pour voler des informations en silence a été rapidement adoptée par d’autres acteurs de la menace. Ces acteurs, however, l’ont utilisé pour supprimer des logiciels malveillants ont adopté une approche plus manifeste.

Soon, les opérateurs de ransomwares ont tenté d’accéder à des serveurs vulnérables qui n’avaient pas été corrigés ou qui avaient été corrigés de manière incorrecte Il est important de noter que Microsoft a publié un outil pour faciliter la correction des serveurs potentiellement vulnérables, ainsi que des conseils détaillés sur la façon de corriger les serveurs.

L’un des premiersprobablement le premierque les chercheurs en sécurité de souche de ransomware ont découvert et qui a tenté d’utiliser les failles de ProxyLogon était DearCry. Shortly after, des rapports ont noté que les auteurs de la souche Black Kingdom utilisaient également les failles ProxyLogon comme moyen d’accorder un accès initial aux attaquants.

La souche de ransomwares Black Kingdom, également connue sous le nom de GAmmAWare, bien qu’elle ne soit pas aussi connue que les ransomwares Sodinokibi et Ryuk, constitue toujours une menace importante pour les entreprises. La découverte que Black Kingdom utilisait les vulnérabilités ProxyLogon a été initialement faite par Marcus Hutchins Hutchins a noté que les vulnérabilités étaient utilisées pour exécuter des scripts PowerShell qui téléchargeraient ensuite l’exécutable du ransomware et tentaient de pousser le ransomware sur d’autres ordinateurs du même réseau. La découverte a été faite via l’une des machines de pot de miel de Hutchins, une machine laissée délibérément vulnérable aux attaques afin que les chercheurs en sécurité puissent analyser les tactiques d’attaque et les logiciels malveillants. Hutchins pensait que l’attaque du pot de miel faisait partie d’une campagne ratée

À la suite de la découverte de Hutchins, Michael Gillespie, le créateur du site d’identification de ransomware ID Ransomware, a signalé que le ransomware avait chiffré les appareils des autres victimes et n’était en aucun cas une campagne complètement ratée. ID Ransomware a reçu ses premières soumissions pour identifier Black Kingdom le 18 mars Quatre jours après les premières soumissions, more than 30 soumissions uniques ont été faites sur le site Web Les victimes ont été retracées à l’US, Canada, Austria, Suisse, Russia, France, Israel, United Kingdom, Italy, Germany, Greece, Australie et Croatie Selon les deux chercheurs, deux notes de rançon différentes avaient été déposées sur les machines des victimes Le premier étant decrypt_fileTxT et l’autre nommé ReadMeSMS Les deux variaient légèrement en ce qui concerne le texte contenu Un échantillon du fichier decrypt_fileLa version TxT se lit comme suit,

Nous avons piraté votre ((Réseau)), et maintenant tous les fichiers, documents, images, bases de données et autres données importantes sont chiffrés en toute sécurité à l’aide des algorithmes les plus puissants jamais créésVous ne pouvez accéder à aucun de vos fichiers ou services Mais ne vous inquiétez pas Vous pouvez tout restaurer et reprendre vos activités très bientôt (cela dépend de vos actions) avant que je ne dise comment vous pouvez restaurer vos données, vous devez savoir certaines choses:

Nous avons téléchargé la plupart de vos données (en particulier les données importantes), et si vous ne nous contactez pas dans les 2 days, vos données seront rendues publiques

Pour voir ce qui arrive à ceux qui ne nous ont pas contactés, il suffit de google: (Blackkingdom Ransomware)

Nous comprenons votre stress et votre anxiété Vous avez donc la possibilité gratuite de tester notre service en déchiffrant instantanément un ou deux fichiers gratuitement, envoyez simplement les fichiers que vous souhaitez décrypter (support_blackkingdom2 @ protonmailcom

La seule façon de récupérer vos fichiers et de se protéger des fuites de données, est d’acheter une clé privée unique pour vous que nous ne possédons que

2- envoyer le montant suivant de dollars américains (10 000) de bitcoins à cette adresse:

4- Après avoir soumis le paiement, les données seront supprimées de nos serveurs, et le décodeur vous sera remis, afin que vous puissiez récupérer tous vos fichiers

Chers administrateurs système, ne pensez pas que vous pouvez le gérer vous-même Avisez vos superviseurs dès que possibleEn cachant la vérité et en ne communiquant pas avec nous, ce qui s’est passé sera publié sur les réseaux sociaux et pourtant sur les sites d’information

Un coup d’œil à l’adresse du portefeuille Bitcoin fournie a montré qu’une seule victime avait payé la rançon de 10 000 USD depuis le lancement de la campagne. Même si les organisations corrigent ces failles à un rythme beaucoup plus élevé que d’habitude, certaines peuvent encore être vulnérables à une attaque du royaume noir. Il est recommandé aux organisations de suivre les conseils de Microsoft et d’accorder la priorité aux correctifs si cela n’a pas déjà été fait

Quelques jours après l’annonce de la découverte de la campagne d’attaque du Royaume noir par Hutchins et Gillespie, Microsoft a confirmé qu’une campagne d’attaque contre les serveurs Exchange était bel et bien en cours. Microsoft a noté qu’environ 1500 serveurs Exchange avaient des interfaces Web déployées par des attaquants du royaume noir. Il a également été noté que, bien que les serveurs aient été compromis, aucune activité secondaire typique d’une campagne de ransomware moderne n’avait été détectée. Ces activités peuvent inclure l’exfiltration des données suivie du cryptage des données Cela indique que les attaquants ont cherché à maintenir leur présence sur les réseaux compromis avec l’intention de frapper à une date ultérieure lorsque l’organisation pourrait être plus encline à payer la rançon.

Dans ces cas, les correctifs peuvent ne pas être suffisants, car le serveur Exchange et le réseau plus large peuvent déjà être compromis Dans de tels cas, les administrateurs réseau devraient mener une enquête complète sur le réseau, datant d’avant la mise en œuvre du correctif ainsi qu’après Cette période est souvent appelée la fenêtre d’exposition La fenêtre d’exposition peut être étendue pour inclure l’indicateur le plus précoce possible de l’attaque Pour ceux qui ont été ciblés par Hafnium, c’était le 27 February 2021 Bien que l’instance la plus précoce possible d’une attaque du royaume noir ne soit toujours pas connue, il est prudent de supposer que ce serait à peu près au moment de l’annonce initiale par Microsoft des vulnérabilités ProxyLogon. Avec les attaques Hafnium et Black Kingdom, le déploiement de web shells doit être considéré comme un indicateur clé de compromis De plus, en ce qui concerne Black Kingdom, le shell Web est envoyé sur Tor une fois le compromis initial terminé. En recherchant ces indicateurs lors de la réalisation d’une enquête, la suppression des menaces futures permettra d’économiser pas mal de stress plus tard.

Ce n’est pas la première fois que la communauté InfoSec rencontre une souche de ransomware portant le nom de Black Kingdom En juin 2020, une souche de ransomware du même nom a exploité les failles de Pulse VPN pour obtenir un accès initial aux réseaux Les tentatives d’attaque ont, once again, été capturées par des pots de miel et ont permis aux chercheurs d’analyser le malware. Le ransomware a pu rester persistant sur les machines compromises en trompant avec succès le système d’exploitation en lui faisant croire qu’il s’agit d’une tâche Google Chrome programmée légitime. Lorsque le ransomware a commencé son processus de cryptage, il a ajouté DEMON jusqu’à la fin des fichiers cryptés Les attaquants ont ensuite déposé une note de rançon exigeant environ 5000 USD pour décrypter les fichiers une fois l’attaque découverte.

Il existe plusieurs similitudes entre les deux variétés Black Kingdom Les deux sont écrits en Python et compilés dans un exécutable Windows Les deux utilisent des tactiques similaires; exploiter des vulnérabilités récemment révélées pour obtenir un accès initial aux réseaux vulnérables Il existe également des différencesdifférents portefeuilles d’adresses Bitcoin et différentes notes de rançon Les différences sont relativement insignifiantes, et il y a plus de preuves suggérant qu’elles sont liées et diffusées par les mêmes opérateurs de ransomware Une preuve absolue est toujours nécessaire pour établir le lien définitif, mais la prépondérance des probabilités suggère que les deux campagnes sont liées

Black Kingdom n’est pas la seule souche de ransomware à avoir sauté sur le train en marche ProxyLogon Ce n’est pas seulement DearCry non plus; mais il existe des preuves solides suggérant que le Sodinokibi est distribué en utilisant la même méthode Le 19 mars, des rapports ont révélé qu’Acer, le géant taïwanais de la fabrication d’ordinateurs, avait été victime d’un incident de ransomware. Il a été rapporté que les attaquants avaient exigé une rançon stupéfiante de 500 million US dollars – très probablement le montant de rançon le plus élevé exigé à ce jour.

La taille de l’entreprise et la demande de rançon rendent l’incident digne d’intérêt Acer lui-même n’a pas abordé directement l’incident, mais a déclaré:

«Acer surveille régulièrement ses systèmes informatiques et la plupart des cyberattaques sont bien défendues Des entreprises comme nous sont constamment attaquées et nous avons signalé des situations anormales récentes aux autorités chargées de l’application de la loi et de la protection des données dans plusieurs pays.”…

«Nous améliorons continuellement notre infrastructure de cybersécurité pour protéger la continuité des activités et l’intégrité de nos informations Nous exhortons toutes les entreprises et organisations à adhérer aux disciplines et aux meilleures pratiques de cybersécurité, et à être vigilantes en cas d’anomalie de l’activité du réseau.

Bien qu’il n’ait pas abordé la question directement, Bleeping Computer a réussi à obtenir un échantillon de la note de rançon utilisée dans l’attaque et a confirmé qu’il s’agissait de Sodinokibi, suivi par la publication sous le nom de REvil Plus tard, des chercheurs en sécurité ont découvert l’échantillon de logiciel malveillant utilisé dans l’attaque et ont découvert que les attaquants réclamaient 50 million US dollars. Vitali Kremez a découvert plus tard que des agents de Sodinokibi avaient récemment ciblé Acer via les vulnérabilités ProxyLogon

Nous pouvons être à peu près certains qu’il y aura de futures victimes de ransomware avec ces failles utilisées comme méthode de distribution Étant donné que les chercheurs en sécurité ont noté que les réseaux étaient compromis sans activité de ransomware supplémentaire, il est conseillé aux administrateurs de mener des enquêtes complètes sur les réseaux, même si les failles ont été corrigées.

Tomas Meskauskasexpert en sécurité Internet, éditeur de pcrisksite Web com, co-fondateur de l’application anti-malware Mac Combo Cleaner

Ransomware, Cyberattack

News – United States – Black Kingdom Ransomware saute sur Exchange Express – Security Boulevard
Associated title :
Black Kingdom Ransomware saute sur Exchange Express
Les attaques de ransomware deviennent plus dangereuses que jamais
Défense contre les ransomwares: trois implémentations dont chaque équipe de sécurité a besoin

Source: https://securityboulevard.com/2021/04/black-kingdom-ransomware-jumps-on-the-exchange-express/

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/