微软Exchange服务器漏洞攻击尚难停歇。安全研究人员发现,继DearCry之后,又有一只名Black Kingdom的勒索软件,正在锁定未修补ProxyLogon漏洞的服务器发动攻击。
代号MalwareTech的安全研究人员Marcus Hutchins设立的诱捕系统,上周末被人执行了Power Shell script,从yuuuuu44“.”com域名下载Black Kingdom。Black Kingdom虽在他的系统上各个目录下留下勒索软件消息档,但并未加密任何文件。
同一攻击者上周也在Hutchins的系统上执行Power Shell script,企图下载py2exe,且试图将这个执行文件传播到网络上所有系统,不过script没有执行成功。他相信py2exe就是Black Kingdom,而且似乎发送范围也相当广,但不确定有多少台Exchange服务器遭到感染。
主持勒索软件识别网站ID Ransomware的研究人员Michael Gillespie继两周前发现DearCry后,也在上周发现Black Kingdom。不同于Hutchins的情形,Gillespie对Bleeping Computer表示,Black Kingdom已成功加密设备上的文件。文件被加密后会产生随机文件扩展名的文件,且留下decryt_file.TXT的勒索消息文本档,也和Hutchins发现的ReadMe.txt不同。Black Kingdom受害者都被勒索1万美元。
Gillespie的网站收到的受害者分布多国,包括美、加、澳洲、奥地利及英、德、法、瑞士、意大利、以色列、俄罗斯、希腊、克罗地亚等地。
不过从Black Kingdom执行不成功等迹象,Hutchins认为这只是一个学艺不精的人写的勒索软件。它的电子钱包也没什么动静,三天内只收到1次付款。
去年6月也有一只名为Black Kingdom的勒索软件,专门开采Pulse VPN漏洞。研究人员目前尚未确定两个Black Kingdom是否为同一只。
宏碁本周末被爆遭勒索软件攻击,据传被勒索了创下史上最高的5千万美元。研究人员发现,这只恶意程序可能也是利用Exchange漏洞成功黑入宏碁。至于宏碁遭到何种勒索软件攻击也不得而知。
更新Exchange服务器是最保险的防护,针对无法及时安装更新版软件的企业,微软上周也发布一键缓解工具EOMT,此外,Microsoft Defender Antivirus也已可缓解CVE- 2021-26855,封住黑入Exchange服务器的第一道破口。