Операторы вымогателя Black Kingdom атакуют серверы Microsoft Exchange

Операторы вымогательского ПО Black Kingdom эксплуатируют уязвимости ProxyLogon в серверах Microsoft Exchange для шифрования данных.

Как сообщил исследователь безопасности Маркус Хатчинс (Marcus Hutchins), злоумышленники использовали уязвимости для выполнения PowerShell-скриптов, загружающих исполняемый файл вымогателя с ресурса yuuuuu44 [.]сom и дальнейшего его распространения на другие компьютеры в сети.

По данным создателя сервиса ID Ransomware Майкла Гиллеспи (Michael Gillespie), жертвы новой вредоносной кампании находятся в США, Канаде, Австрии, Швейцарии, России, Франции, Израиле, Великобритании, Италии, Германии, Греции, Австралии и Хорватии. Программа-вымогатель шифрует файлы с использованием случайных расширений, а затем создает записку с требованием выкупа decrypt_file.TxT или ReadMe.txt. В записках преступники требуют $10 тыс. в биткойнах и используют один и тот же биткойн-адрес для оплаты.

Примечательно, что в 2020 году была зафиксирована другая вредоносная кампания операторов вымогательского ПО Black Kingdom, нацеленная на предприятия с уязвимыми установками ПО Pulse Secure VPN.