Na początku tego roku serwery Microsoft Exchange zostały zaatakowane przez cyberprzestępców, którzy wykorzystali znaną lukę w zabezpieczeniach, aby zainfekować je oprogramowaniem ransomware Black Kingdom. Firma Kaspersky, zajmująca się bezpieczeństwem cybernetycznym, opublikowała nowy raport, który zawiera dodatkowe informacje na temat działania tej odmiany oprogramowania ransomware, a także nowe szczegóły dotyczące stojących za nim cyberprzestępców. Chociaż oprogramowanie ransomware Black Kingdom pojawiło się po raz pierwszy w 2019 r., stało się szeroko znane w marcu tego roku, kiedy zostało użyte w kampanii wykorzystującej lukę w zabezpieczeniach ProxyLogon, śledzoną jako CVE-2021-27065, w Microsoft Exchange. Jednak zgodnie z analizą oprogramowania ransomware przeprowadzoną przez firmę Kaspersky, jest to amatorska implementacja z kilkoma błędami i krytyczną luką w szyfrowaniu, która może pozwolić każdemu na odszyfrowanie zainfekowanych plików przy użyciu zaszyfrowanego klucza.
Oprogramowanie ransomware Czarnego Królestwa
Podczas gdy ostatecznym celem każdej odmiany oprogramowania ransomware jest zaszyfrowanie plików w systemie, autor odmiany oprogramowania ransomware Black Kingdom, które jest zakodowane w Pythonie, postanowił określić pewne foldery, które mają być wyłączone z szyfrowania. Ransomware zapobiega szyfrowaniu plików Windows, ProgramData, Program Files, Program Filex (x86), AppData/Roaming, AppData/LocalLow i AppData/Local w określonym systemie, aby uniknąć złamania go podczas szyfrowania. Jednak sposób, w jaki kod implementujący tę funkcję został napisany, był dla firmy Kaspersky wyraźnym sygnałem, że jej twórcy mogli być hobbystami. Programiści Ransowmare często popełniają błędy, które mogą umożliwić łatwe odszyfrowanie plików, jeśli w ogóle. Na przykład oprogramowanie ransomware Black Kingdom próbuje przesłać swój klucz szyfrowania do usługi przechowywania w chmurze Mega, ale jeśli to się nie powiedzie, do zaszyfrowania plików używany jest zaszyfrowany klucz. Jeśli pliki systemowe zostały zaszyfrowane i nie można połączyć się z Mega, możliwe będzie odzyskanie tych zaszyfrowanych plików za pomocą zaszyfrowanego klucza. Kolejnym błędem popełnionym przez twórców Black Kingdom i zaobserwowanym przez badaczy z firmy Kaspersky jest to, że wszystkie ich notatki dotyczące ransomware zawierają różne błędy wraz z tym samym adresem Bitcoin. Inne rodziny oprogramowania ransomware dostarczają unikalny adres każdej ofierze, co znacznie utrudnia ustalenie, kto stworzył złośliwe oprogramowanie, którego używały. Cyberprzestępcy nie używają obecnie oprogramowania ransomware Black Kingdom do przeprowadzania ataków, ale organizacje muszą być przygotowane na przewidywanie jego ponownego pojawienia się. Z tego powodu wrażliwe organizacje muszą zbadać de plus près le rapport de Kapsersky et, si elles ne l'ont pas encore fait, correct leurs serverurs Microsoft Exchange à l'aide de l'util en un clic de l'entreprise pour le Do.