Mega密碼重置阻止Black Kingdom勒索軟件
在最近針對Microsoft Exchange服務器的ProxyLogon攻擊中,研究人員發現Black Kingdom勒索軟件,該勒索軟件目前通過簡單的密碼重置被阻止,至少暫時是這樣。
Emsisoft公司威脅分析師Brett Callow告訴SearchSecurity,Black Kingdom被設計為生成加密密鑰,并將其上傳到云存儲服務Mega。但是,他補充說,如果勒索軟件無法訪問Mega,則默認為靜態本地密鑰。在最近的攻擊中的某些時候,Black Kingdom似乎無法加密目標系統,并且在某些情況下默認為靜態密鑰。
Callow說:“有人將密碼更改為Mega帳戶,這意味著勒索軟件無法訪問該密碼,并恢復為使用硬編碼密鑰,這意味著我們可以幫助人們恢復其數據,因為我們擁有硬編碼密鑰。”
盡管目前尚不清楚密碼何時被更改,但Callow在周一早上將有關消息告知SearchSecurity(SearchSecurity同意不立即發布信息,以避免讓Black Kingdom威脅者知道其勒索軟件已被破壞)。
Sophos公司下一代技術工程總監Mark Loman在博客文章中,談到該勒索軟件與Mega的內在聯系。Loman告訴SearchSecurity,因為存在靜態密鑰加密器,所以也可以用該靜態密鑰解密。他還確認該勒索軟件無法連接到Mega。
“目前,該勒索軟件無法連接到Mega,因為我嘗試過用戶名和密碼。因此,這意味著,如果目前有Black Kingdom勒索軟件攻擊受害者,他們可能受到另一種新版本的攻擊,或者使用其他用戶名或憑據,你可以使用靜態密鑰解密,但仍然需要解密器。”
Callow在電子郵件中解釋說,目前情況仍然如此,并且當前版本的Black Kingdom仍是恐嚇軟件;威脅研究人員對Black Kingdom的早期報道稱,該勒索軟件實際上并未對系統進行加密,盡管Loman在博客中指出,至少有一名受害者已經支付贖金。
Callow說,這可能意味著攻擊者已經放棄將Black Kingdom變成直接的勒索軟件活動。“攻擊者可能遇到技術或其他問題,因此他們決定將其轉換為恐嚇軟件,希望仍然能夠賺到一些錢。”
Loman說,這是他第一次看到Mega用于存儲加密密鑰,并且,通常勒索軟件會使用公共/私有RSA方案。他補充說,大型勒索軟件組通常在數據滲透過程中使用Mega和Dropbox等文件存儲服務,因為這些服務通常不會被防火墻阻止。
Mega是由Megaupload的創始人Kim Dotcom于2013年創立,在前一年,Megaupload因涉嫌盜版和侵犯版權的指控而被美國司法部查封;Dotcom在2015年與Mega斷絕關系。
Loman表示,Black Kingdom密鑰存儲并不能說明Mega存在道德問題,因為該站點無法可行地立即進行檢測。
Mega執行主席Stephen Hall在電子郵件中告訴SearchSecurity:“我們不會記錄特定的勒索軟件可能導致上傳到Mega。我們只是立即關閉上傳者的帳戶,以防止受影響數據的進一步傳播。”
Black Kingdom是針對易受攻擊的Microsoft Exchange服務器的最新威脅,隨著本月初披露的四個零日漏洞的影響繼續擴展。在上周二,威脅情報供應商Kryptos Logic在其ProxyLogon掃描期間報告100,000個活躍的Web Shell。
