Ransomware Black Kingdom tấn công máy chủ Microsoft Exchange

Đầu năm nay, các máy chủ Microsoft Exchange đã trở thành mục tiêu của ransomware Black Kingdom.

Hiện, công ty an ninh mạng Kaspersky đưa ra thông tin chi tiết hơn về cách thức hoạt động của chủng ransomware này và tội phạm mang đứng sau cuộc tấn công.

Mặc dù ransomware Black Kingdom xuất hiện lần đầu tiên vào năm 2019, nhưng đến tháng 3 năm 2021 nó mới được biết đến rộng rãi khi được sử dụng trong một chiến dịch khai thác lỗ hổng ProxyLogon (CVE-2021-27065) trong Microsoft Exchange.

Tuy nhiên, dựa trên phân tích của Kaspersky về ransomware, đây là một cách triển khai nghiệp dư với một số lỗi và một lỗ hổng mã hóa nghiêm trọng mà bất kỳ ai cũng có thể giải mã các tệp bị ảnh hưởng.

Mặc dù mục tiêu cuối cùng của bất kỳ chủng loại ransomware nào là mã hóa các tệp của hệ thống, nhưng tác giả của chủng ransomware Black Kingdom - được mã hóa bằng Python - đã quyết định chỉ định một số thư mục nhất định sẽ bị loại khỏi mã hóa.

Ransomware tránh mã hóa các tệp Windows, ProgramData, Program Files, Program Filex (x86), AppData/Roaming, AppData/LocalLow và AppData/Local trên hệ thống được nhắm mục tiêu để tránh phá vỡ nó trong quá trình mã hóa. Tuy nhiên, cách viết mã triển khai chức năng này lại cho thấy những kẻ tạo ra nó có thể là nghiệp dư.

Ransomware lỗi có thể cho phép các tệp được giải mã một cách dễ dàng hoặc đôi khi không phải như vậy. Chẳng hạn, ransomware Black Kingdom cố gắng tải khóa mã hóa lên dịch vụ lưu trữ đám mây Mega nhưng nếu điều không thành, một hardcode key (khóa của một chương trình máy tính mà không thể thay đổi trong bất kỳ cách nào ngoại trừ bằng cách thay đổi mã nguồn của chương trình riêng) sẽ được sử dụng để mã hóa các tệp thay thế. Nếu các tệp của hệ thống đã được mã hóa và nó không thể tạo kết nối với Mega, thì có thể khôi phục các tệp được mã hóa này bằng một hardcode key.

Một sai lầm khác của những người tạo ra Black Kingdom và được các nhà nghiên cứu của Kaspersky nhận ra là thực tế, tất cả các ghi chú ransomware của họ đều chứa một số lỗi cũng như cùng một địa chỉ Bitcoin. Các họ ransomware khác cung cấp một địa chỉ duy nhất cho mỗi nạn nhân, điều này khiến việc xác định ai đã tạo ra phần mềm độc hại mà họ đã sử dụng ngay từ đầu trở nên khó khăn hơn nhiều .

Hiện tại, ransomware Black Kingdom không được tội phạm mạng sử dụng để phát động các cuộc tấn công, nhưng các doanh nghiệp, tổ chức, công ty cần phải đề phòng.

Vì lý do này, các tổ chức dễ bị tấn công nên xem xét kỹ báo cáo của Kapsersky hoặc vá các máy chủ Microsoft Exchange bằng cách sử dụng công cụ one-click.