Los servidores de Microsoft Exchange están siendo atacados de nuevo, puesto que un investigador de seguridad ha destapado una nueva campaña conocida como "BlackKingdom" que aprovecha las vulnerabilidades de ProxyLogon para implementar ransomware.
Según ha informado BleepingComputer, el investigador de seguridad Marcus Hutchins, de MalwareTechBlog, detalló su hallazgo en una serie de tuits recientes, diciendo:
“Alguien acaba de ejecutar este script en todos los servidores de Exchange vulnerables a través de ProxyLogon. Afirma ser ransomware de BlackKingdom, pero no parece cifrar archivos, simplemente deja caer una nota de rescate en cada directorio. Según mis informes de honeypot (sistemas trampa), el mismo atacante trató de ejecutar el siguiente script unos días antes, pero falló".
- Consulta los mejores servicios VPN en 2021 para una mayor seguridad online
Mientras que los atacantes intentaron enviar ransomware a los honeypots de Hutchins, estos no llegaron a cifrarse, lo cual sugiere que él mismo fue testigo de un ataque fallido.
BlackKingdom
Aunque los atacantes intentaron (sin éxito) cifrar los honeypots de Hutchin, los informes enviados al sitio de identificación de ransomware, ID Ransomware, muestran que BlackKingdom sí pudo cifrar con éxito los dispositivos de otras víctimas a mediados de marzo.
Hasta ahora, BlackKingdom ha atacado a víctimas en Estados Unidos, Canadá, Australia, Suiza, Rusia, Francia, Israel, Reino Unido, Italia, Alemania, Grecia, Australia y Croacia.
Cuando consigue implementarse con éxito, el ransomware cifra los archivos utilizando extensiones aleatorias y luego deja una nota de rescate llamada decrypt_file.TxT. Sin embargo, en su investigación, Hutchins encontró una nota de rescate diferente, llamada ReadMe.txt, utilizando un texto ligeramente distinto. Ambas notas de rescate solicitaban a las víctimas la cantidad de 10.000 dólares en bitcoins para que accedieran a desencriptar sus servidores.
Esta no es la primera vez que vemos al ransomware conocido como BlackKingdom en estado puro. En junio del año pasado se utilizó otro ransomware con el mismo nombre para atacar las redes corporativas aprovechándose de vulnerabilidades de Pulse VPN. Aunque todavía no se ha confirmado, ambas versiones del ransomware 'BlackKingdom', al parecer, se escribieron en Python.
Otro tipo de ransomware conocido como 'DearCry' también se utilizó para atacar a los servidores de Microsoft Exchange aprovechándose de las vulnerabilidades de ProxyLogon a principios de este mismo mes.
Vía BleepingComputer
