在近期对于Microsoft Exchange网络服务器的ProxyLogon攻击中,科学研究工作人员发觉Black Kingdom勒索软件,该勒索软件现阶段根据简洁的重置密码被阻拦,最少临时是那样。
Emsisoft企业危害投资分析师Brett Callow告知SearchSecurity,Black Kingdom被设计为转化成加密密钥,并将其上传入视频云存储Mega。可是,他填补说,假如勒索软件无法打开Mega,则默认为静态当地密钥。在近期的攻击中的一些情况下,Black Kingdom好像没法加密总体目标系统软件,而且在某种情形下默认为静态密钥。
Callow说:“有些人将登陆密码更改成Mega账号,这代表着勒索软件无法打开该登陆密码,并复原为应用硬编码密钥,这代表我们可以协助大家修复其数据信息,由于大家有着硬编码密钥。”
虽然现阶段尚不清楚登陆密码什么时候被变更,但Callow在周一早晨将相关信息告之SearchSecurity(SearchSecurity允许不马上发布消息,以防止让Black Kingdom危害者了解其勒索软件已被毁坏)。
Sophos企业下一代技术性工程项目主管Mark Loman在网络文章中,提到该勒索软件与Mega的相互关系。Loman告知SearchSecurity,由于存有静态密钥加密器,因此还可以用该静态密钥破译。他还确定该勒索软件无法连接到Mega。 “
现阶段,该勒索软件无法连接到Mega,由于我试着过账户密码。因而,这代表着,假如现阶段有Black Kingdom勒索软件攻击受害人,她们很有可能遭受另一种最新版本的攻击,或是应用别的登录名或凭证,你能应用静态密钥破译,但依然必须解密器。”
Callow在电子邮箱中表述说,现阶段状况依然如此,而且现阶段版本号的Black Kingdom仍是吓唬手机软件;危害科学研究员工对Black Kingdom的初期报导称,该勒索软件事实上并没有系统对开展加密,虽然Loman在新浪博客中强调,最少有一名受害人早已付款保释金。
Callow说,这也许代表着攻击者早已舍弃将Black Kingdom变为立即的勒索软件主题活动。“攻击者很有可能碰到新技术或其它问题,因而她们决策将其变换为吓唬手机软件,期待依然可以赚到一些钱。”
Loman说,这也是他第一次见到Mega用以储存加密密钥,而且,通常勒索软件会应用公共性/私有化RSA计划方案。他填补说,大中型勒索软件组通常在数据信息渗入流程中应用Mega和Dropbox等文件传送服务项目,由于这种服务项目通常不易被服务器防火墙阻拦。
Mega是由Megaupload的创办人Kim Dotcom于2013年开创,在前一年,Megaupload涉嫌盗用和侵害出版权的指证而被美司法部封查;Dotcom在2015年与Mega断绝来往。
Loman表示,Black Kingdom密钥储存并无法表明Mega存有社会道德问题,由于该网站没法行得通地马上开展检验。
Mega执行主席Stephen Hall在电子邮箱中告知SearchSecurity:“大家不容易纪录特殊的勒索软件很有可能造成上传入Mega。大家仅仅马上关掉发帖人的账号,以避免受影响数据信息的进一步散播。”
Black Kingdom是对于易受攻击的Microsoft Exchange网络服务器的全新危害,伴随着本月初公布的四个零日系统漏洞的危害再次拓展。在上周二,威胁情报经销商Kryptos Logic在其ProxyLogon扫描仪期内汇报100,000个活跃性的Web Shell。