Ransomware-ul Black Kingdom atacă companiile utilizând o vulnerabilitate a Pulse Secure VPN

Ransomware-ul criptează fișierele din computerle victimelor, adăugându-le extensia .DEMON, solicitând 10 mii de dolari.

image

Operatorii ransomware-ului Black Kingdom atacă întreprinderile care folosesc Pulse Secure VPN.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al companiei poloneze de cyber security REDTEAM.PL, iar cercetătorii au avut astfel posibilitatea de a-l studia și descrie.

Atacatorii exploatează vulnerabilitatea critică CVE-2019-11510  din Pulse Secure VPN, corectată în aprilie 2019. În ciuda numeroaselor notificări de securitate legate de această vulnerabilitate, multe întreprinderi nu și-au actualizat setările Pulse Secure VPN, ceea ce permite Black Kingdom să se desfășoare.

Conform analizei efectuate de specialiștii polonezi, Black Kingdom manifestă persistența în sistem, creând o sarcină (task) falsă Google Chrome care diferă de cea legitimă printr-o singură literă (GoogleUpdateTaskMachineUSA – sarcina creată de Black Kingdom, GoogleUpdateTaskMachineUA – sarcina legitimă Google Chrome).

Aici puteți găsi  o analiză mai detaliată a programului malițios.

Black Kingdom a fost descoperit pentru prima dată în luna efbruarie 2020. Ransomware-ul criptează fișierele din computerul victimelor, adăugându-le extensia .DEMON și solicită 10 mii de dolari în bitcoin pentru a le decripta. Dacă victima refuză să plătească, atacatorii amenință că vor distruge sau vinde fișierele criptate. În momentul scrierii știrii, soldul portofelului Bitcoin indicat în nota de răscumpărare era de doar 0,55 BTC (aproximativ 5.200 USD).

Sursa: https://www.securitylab.ru/news/509198.php

Rusia: Consum fraudulos de energie electrică pentru a mina monedă virtuală

Poliția din Daghestan a descoperit o fermă de minat monedă digitală pe teritoriul unei fabrici de materiale de construcție. Oamenii legii au descoperit că ferma de minat litecoin și bitcoin era conectată ilegal la rețeaua electrică.

В Дагестане задержан владелец подпольной майнинг-фермы

În luna mai a acestui an, un bărbat în vârstă de 30 de ani a închiriat mai multe spații nerezidențiale la etajul al treilea al unei clădiri industriale din localitatea Novîi Hușet (Daghestan), unde și-a organizat o fermă pentru minarea litecoin și bitcoin. În timpul percheziției au fost găsite 518 dispozitive pentru extragerea de monedă digitală. Infractorul a furat energie electrică în valoare de 34 de milioane de ruble, pe numele acestuia fiind deschis un dosar, conform Codului penal rus.

In primăvara lui 2018, în România, un angajat al Institutului Național de Cercetare Dezvoltare pentru Fizică și Inginerie Nucleară de la Măgurele a găsit o „soluție” ieftină pentru a mina criptomoneda Monero, o alternativă la Bitcoin. Bărbatul și-a adus de acasă un computer, pe care l-a conectat la rețeaua electrică a institutului. Cazul a fost semnalat de Ștefan Tănase, security researcher la compania de software Ixia.

Bărbatul ar fi consumat energie electrică în valoare de 1.000 de euro pe lună. Cum deținea aparatura, dar acasă ar fi plătit sume astronomice pentru curentul consumat, angajatul s-a folosit de un IP de la serviciu pentru a se conecta și a mina criptomoneda.

Sursa: https://www.securitylab.ru/news/509005.php