BLACKKINGDOM: El RANSOMWARE QUE TIENE COMO OBJETIVO A MICROSOFT EXCHANGE

BlackKingdom está explotando las vulnerabilidades de Microsoft Exchange Server ProxyLogon para cifrar servidores.

SERVICIOS AFECTADOS:

• Servidores Microsoft Exchange

DETALLES TÉCNICOS:

CVE:  CVE-2021-26855,  CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065

Severidad: ALTA

Un ciberdelincuente ataco los servidores de Microsoft Exchange a través de las vulnerabilidades de ProxyLogon para implementar ransomware.

Basado en los registros de sus honeypots, se evidencia que usó la vulnerabilidad para ejecutar un script de PowerShell que descarga el ejecutable ransomware de ‘yuuuuu44 [.] Com’ y luego lo propaga a otras computadoras en la red.

Los Honeypots son dispositivos con vulnerabilidades conocidas expuestas en Internet para atraer a los atacantes y monitorear sus actividades. Sin embargo, los honeypots no parecían estar encriptados, y se creía que el ataque que se presenció fue una campaña fallida.

Según los envíos al sitio de identificación de ransomware “ID Ransomware”, la campaña BlackKingdom ha cifrado los dispositivos de otras víctimas, y los primeros envíos se vieron el 18 de marzo.

Al cifrar dispositivos, el ransomware cifrará los archivos utilizando extensiones aleatorias y luego creará una nota de rescate llamada decrypt_file.TxT, como se muestra a continuación.

Imagen1: Nota de rescate descrypt_file.TxT

Indicadores de Compromiso

Dominio

yuuuuu44[.]Com

Para el personal de seguridad de información:

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente: http://securitysummitperu.com/articulos/microsoft-exchange-es-objetivo-del-ransomware-blackkingdom/?trk=public_post_share-update_update-text

¡Compártelo con tus amigos con el botón al final de la página!

Si te ha gustado ¡Vamos! SUSCRÍBETE a continuación:

android Apple Ataques Malware ciberdelincuencia CiberSeguridad Desarrollo Diversion Eventos Facebook Google Hacking Hardware Innovacion Inteligencia Artificial inter Internet Iphone Legal linux Mac Malware Microsoft Movil Multimedia-TV-IOT Móvil Móviles Navegadores Novedades nube Programacion Ransoware Redes informáticas Redes Sociales Seguridad Seguridad en Internet Seguridad Movil Sistemas Operativos Tecnologia Tips Tips Móvil Uso de Smartphone utiles vulnerabilidades Window Windows

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: