信息化觀察網(wǎng)

在最近針對(duì)Microsoft Exchange服務(wù)器的ProxyLogon攻擊中，研究人員發(fā)現(xiàn)Black Kingdom勒索軟件，該勒索軟件目前通過(guò)簡(jiǎn)單的密碼重置被阻止，至少暫時(shí)是這樣。

Emsisoft公司威脅分析師Brett Callow告訴SearchSecurity，Black Kingdom被設(shè)計(jì)為生成加密密鑰，并將其上傳到云存儲(chǔ)服務(wù)Mega。但是，他補(bǔ)充說(shuō)，如果勒索軟件無(wú)法訪問(wèn)Mega，則默認(rèn)為靜態(tài)本地密鑰。在最近的攻擊中的某些時(shí)候，Black Kingdom似乎無(wú)法加密目標(biāo)系統(tǒng)，并且在某些情況下默認(rèn)為靜態(tài)密鑰。Callow說(shuō)：“有人將密碼更改為Mega帳戶，這意味著勒索軟件無(wú)法訪問(wèn)該密碼，并恢復(fù)為使用硬編碼密鑰，這意味著我們可以幫助人們恢復(fù)其數(shù)據(jù)，因?yàn)槲覀儞碛杏簿幋a密鑰。”

盡管目前尚不清楚密碼何時(shí)被更改，但Callow在周一早上將有關(guān)消息告知SearchSecurity(SearchSecurity同意不立即發(fā)布信息，以避免讓Black Kingdom威脅者知道其勒索軟件已被破壞)。

Sophos公司下一代技術(shù)工程總監(jiān)Mark Loman在博客文章中，談到該勒索軟件與Mega的內(nèi)在聯(lián)系。Loman告訴SearchSecurity，因?yàn)榇嬖陟o態(tài)密鑰加密器，所以也可以用該靜態(tài)密鑰解密。他還確認(rèn)該勒索軟件無(wú)法連接到Mega。“

目前，該勒索軟件無(wú)法連接到Mega，因?yàn)槲覈L試過(guò)用戶名和密碼。因此，這意味著，如果目前有Black Kingdom勒索軟件攻擊受害者，他們可能受到另一種新版本的攻擊，或者使用其他用戶名或憑據(jù)，你可以使用靜態(tài)密鑰解密，但仍然需要解密器。”

Callow在電子郵件中解釋說(shuō)，目前情況仍然如此，并且當(dāng)前版本的Black Kingdom仍是恐嚇軟件;威脅研究人員對(duì)Black Kingdom的早期報(bào)道稱，該勒索軟件實(shí)際上并未對(duì)系統(tǒng)進(jìn)行加密，盡管Loman在博客中指出，至少有一名受害者已經(jīng)支付贖金。

Callow說(shuō)，這可能意味著攻擊者已經(jīng)放棄將Black Kingdom變成直接的勒索軟件活動(dòng)。“攻擊者可能遇到技術(shù)或其他問(wèn)題，因此他們決定將其轉(zhuǎn)換為恐嚇軟件，希望仍然能夠賺到一些錢(qián)。”

Loman說(shuō)，這是他第一次看到Mega用于存儲(chǔ)加密密鑰，并且，通常勒索軟件會(huì)使用公共/私有RSA方案。他補(bǔ)充說(shuō)，大型勒索軟件組通常在數(shù)據(jù)滲透過(guò)程中使用Mega和Dropbox等文件存儲(chǔ)服務(wù)，因?yàn)檫@些服務(wù)通常不會(huì)被防火墻阻止。

Mega是由Megaupload的創(chuàng)始人Kim Dotcom于2013年創(chuàng)立，在前一年，Megaupload因涉嫌盜版和侵犯版權(quán)的指控而被美國(guó)司法部查封;Dotcom在2015年與Mega斷絕關(guān)系。

Loman表示，Black Kingdom密鑰存儲(chǔ)并不能說(shuō)明Mega存在道德問(wèn)題，因?yàn)樵撜军c(diǎn)無(wú)法可行地立即進(jìn)行檢測(cè)。

Mega執(zhí)行主席Stephen Hall在電子郵件中告訴SearchSecurity：“我們不會(huì)記錄特定的勒索軟件可能導(dǎo)致上傳到Mega。我們只是立即關(guān)閉上傳者的帳戶，以防止受影響數(shù)據(jù)的進(jìn)一步傳播。”

Black Kingdom是針對(duì)易受攻擊的Microsoft Exchange服務(wù)器的最新威脅，隨著本月初披露的四個(gè)零日漏洞的影響繼續(xù)擴(kuò)展。在上周二，威脅情報(bào)供應(yīng)商Kryptos Logic在其ProxyLogon掃描期間報(bào)告100,000個(gè)活躍的Web Shell。