“Black Kingdom” Ransomware กำหนดเป้าหมายโจมตีไปยัง Microsoft Exchange ที่มีช่องโหว่

นักวิจัยของ MalwareTechBlog พบการโจมตีของ “Black Kingdom” Ransomware ใน Server Microsoft Exchange ผ่านช่องโหว่ ProxyLogon เพื่อปรับใช้ ransomware 

จากบันทึกใน Honeypots ของนักวิจัย ระบุว่า Hacker ใช้ช่องโหว่ในการเรียกใช้สคริปต์ PowerShell เพื่อดาวน์โหลด Ransomware จาก ‘yuuuu44 [.] com’ จากนั้นส่งออกไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่าย แต่ดูเหมือนว่า การโจมตีครั้งนี้อาจเป็นการโจมตีที่ล้มเหลว 

อย่างไรก็ตามขึ้นอยู่กับการส่งไปยังเว็บไซต์ที่ระบุ ransomware “ID Ransomware” แคมเปญ Black Kingdom ได้เข้ารหัสอุปกรณ์ของเหยื่อรายอื่นโดยมีการส่งครั้งแรกเมื่อวันที่ 18 มีนาคม

Michael Gillespie ผู้สร้าง ID Ransomware กล่าวว่าระบบของเขาได้เห็นการส่งข้อมูลที่ไม่ซ้ำกันกว่า 30 รายการไปยังระบบของเขาโดยมีหลายรายการที่ส่งโดยตรงจาก Server Email

เมื่อเข้ารหัสอุปกรณ์ Ransomware จะเข้ารหัสไฟล์โดยใช้นามสกุลแบบสุ่มจากนั้นสร้างโน้ตเรียกค่าไถ่ชื่อ  decrypt_file.TxT ดังที่แสดงด้านล่าง

นักวิจัยกล่าวว่า Ransomware ที่เรียกใช้งานได้ในปัจจุบันเป็นสคริปต์ Python ที่คอมไพล์เป็นไฟล์ปฏิบัติการของ Windows “Black Kingdom” Ransomware ตั้งแต่เดือนมิถุนายน 2020 ได้รับการเข้ารหัสด้วย Python

Black Kingdom เป็น Ransomware ตัวที่สองที่ได้รับการยืนยันซึ่งกำหนดเป้าหมายไปที่ช่องโหว่ของ Microsoft Exchange ProxyLogon

คำแนะนำ

1.Update Microsoft Exchange ให้เป็น Version ปัจจุบัน

2 .ติดตั้ง Antivirus หมั่น update และ scan อยู่เสมอ

3. ทำการ backup file สำคัญไว้หลายๆ ที่โดยเฉพาะควรสำรองข้อมูลแบบออฟไลน์ด้วย เช่น copy ไฟล์เก็บไว้ใน Harddisk หรือ แฟลชไดร์ เป็นต้น

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-now-targeted-by-black-kingdom-ransomware/

Share

Add Your Comments

Your email address will not be published.