Παρασκευή, 15 Ιανουαρίου, 16:59
Αρχική security Το Black Kingdom ransomware παραβιάζει δίκτυα με ελαττώματα Pulse VPN

Το Black Kingdom ransomware παραβιάζει δίκτυα με ελαττώματα Pulse VPN

Οι χειριστές του Black Kingdom ransomware στοχεύουν επιχειρήσεις με unpatched software Pulse Secure VPN, σύμφωνα με ερευνητές ασφαλείας.

Black Kingdom ransomware

Το malware παγιδεύτηκε σε ένα honeypot, επιτρέποντας στους ερευνητές να αναλύσουν και να τεκμηριώσουν τις τακτικές που χρησιμοποιούν οι παράγοντες απειλής.

Εκμεταλλεύονται το CVE-2019-11510, μια κρίσιμη ευπάθεια που επηρεάζει παλαιότερες εκδόσεις του Pulse Secure VPN που επιδιορθώθηκε τον Απρίλιο του 2019. Οι εταιρείες καθυστέρησαν την ενημέρωση του λογισμικού τους ακόμη και μετά τη δημοσίευση των exploits, με την αμερικανική κυβέρνηση και με μερικούς παράγοντες απειλής να το αξιοποιούν – ορισμένοι οργανισμοί συνεχίζουν να τρέχουν μια ευάλωτη έκδοση του προϊόντος.

Η REDTEAM.PL, μια εταιρεία που προσφέρει υπηρεσίες ασφάλειας στον κυβερνοχώρο με έδρα την Πολωνία, παρατήρησε ότι οι φορείς εκμετάλλευσης του Black Kingdom χρησιμοποίησαν την ίδια πόρτα που παρέχεται από την Pulse Secure VPN για να παραβιάσουν αυτό που πίστευαν ότι ήταν στόχος.

Από τις παρατηρήσεις των ερευνητών, το ransomware καθόρισε το persistence με την πλαστοπροσωπία μιας νόμιμης προγραμματισμένης εργασίας για το Google Chrome, με ένα μόνο γράμμα να κάνει τη διαφορά:

Σύμφωνα με την ανάλυση του REDTEAM.PL, η προγραμματισμένη εργασία εκτελεί ένα string κώδικα με κωδικοποίηση Base64 σε ένα κρυφό παράθυρο PowerShell για να πάρει ένα script με το όνομα “reverse.ps1” που πιθανότατα χρησιμοποιείται για να ανοίξει ένα “reverse shell” στον παραβιασμένο κεντρικό υπολογιστή.

Ο Adam Ziaja από το REDTEAM.PL είπε ότι το script δεν μπορεί να ανακτηθεί από τον remote server που ελέγχεται από τον εισβολέα, πιθανώς επειδή ο server που το φιλοξενούσε είχε αποκλειστεί πριν από την παράδοση του payload.

Η διεύθυνση IP όπου κατοικούσε το “reverse.ps1” είναι η 198.13.49.179, το οποίο διαχειρίζεται η Choopa, μια θυγατρική εταιρεία της Vultr, γνωστή για τους φθηνούς virtual private servers (VPS) που παρέχει. Οι servers αυτοί χρησιμοποιούνται και από εγκληματίες στον κυβερνοχώρο  για να φιλοξενήσουν τα κακόβουλα τους εργαλεία.

Black Kingdom ransomware

Πρόσφατη εμφάνιση

Το Black Kingdom ransomware εντοπίστηκε για πρώτη φορά στα τέλη Φεβρουαρίου από τον ερευνητή ασφαλείας GrujaRS, ο οποίος διαπίστωσε ότι επισύναψε την επέκταση .DEMON σε κρυπτογραφημένα αρχεία.

Το δείγμα που αναλύθηκε επικοινώνησε με την ίδια διεύθυνση IP που βρέθηκε στην αναφορά του REDTEAM.PL. Εμφανίστηκε το παρακάτω σημείωμα λύτρων ζητώντας 10.000 $ να κατατεθούν σε ένα πορτοφόλι bitcoin και απειλώντας ότι εάν δεν το κάνει θα οδηγήσει σε καταστροφή ή πώληση των δεδομένων.

Black Kingdom ransomware

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...

Facebook: Μηνύει προγραμματιστές Chrome επεκτάσεων για κλοπή δεδομένων

Το Facebook υπέβαλε μια αγωγή εναντίον δύο Πορτογάλων υπηκόων για την ανάπτυξη Chrome επεκτάσεων, που συγκέντρωναν δεδομένα χρηστών του Facebook.

Η Cisco δεν διορθώνει 74 bugs σε routers RV που έφτασαν στην EOL τους

Η Cisco δήλωσε χθες ότι δεν πρόκειται να κυκλοφορήσει firmware updates για να διορθώσει 74 ευπάθειες που έχουν αναφερθεί ότι υπάρχουν στα...

Χάκερ διαπράττει νέα εγκλήματα ενώ περιμένει την απελευθέρωσή του!

Συμπονετική απελευθέρωση δόθηκε σε έναν χάκερ από το Κόσοβο μετά την καταδίκη του. Ο χάκερ παρείχε προσωπικά αναγνωρίσιμα στοιχεία πάνω από 1.000...

Η Nintendo αποκλείει hacking βίντεο του Game & Watch

Δύο αξιώσεις για πνευματικά δικαιώματα εναντίον ενός YouTuber έχουν κατατεθεί από την Nintendo, για ένα βίντεο που παρουσιάζει hacking του Super Mario...