Ransomware-ul Black Kingdom atacă companiile utilizând o vulnerabilitate a Pulse Secure VPN

Ransomware-ul criptează fișierele din computerle victimelor, adăugându-le extensia .DEMON, solicitând 10 mii de dolari.

image

Operatorii ransomware-ului Black Kingdom atacă întreprinderile care folosesc Pulse Secure VPN.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al companiei poloneze de cyber security REDTEAM.PL, iar cercetătorii au avut astfel posibilitatea de a-l studia și descrie.

Atacatorii exploatează vulnerabilitatea critică CVE-2019-11510  din Pulse Secure VPN, corectată în aprilie 2019. În ciuda numeroaselor notificări de securitate legate de această vulnerabilitate, multe întreprinderi nu și-au actualizat setările Pulse Secure VPN, ceea ce permite Black Kingdom să se desfășoare.

Conform analizei efectuate de specialiștii polonezi, Black Kingdom manifestă persistența în sistem, creând o sarcină (task) falsă Google Chrome care diferă de cea legitimă printr-o singură literă (GoogleUpdateTaskMachineUSA – sarcina creată de Black Kingdom, GoogleUpdateTaskMachineUA – sarcina legitimă Google Chrome).

Aici puteți găsi  o analiză mai detaliată a programului malițios.

Black Kingdom a fost descoperit pentru prima dată în luna efbruarie 2020. Ransomware-ul criptează fișierele din computerul victimelor, adăugându-le extensia .DEMON și solicită 10 mii de dolari în bitcoin pentru a le decripta. Dacă victima refuză să plătească, atacatorii amenință că vor distruge sau vinde fișierele criptate. În momentul scrierii știrii, soldul portofelului Bitcoin indicat în nota de răscumpărare era de doar 0,55 BTC (aproximativ 5.200 USD).

Sursa: https://www.securitylab.ru/news/509198.php

Hackerii REvil au publicat datele furate de la Elexon

REvil Ransomware Data Breach: 'Vierra Magen Marcus' 'Elexon' Hacked
La 01.06.2020, infractorii informatici REvil au publicat, pe pagina grupării lor, date confidențiale furate de la compania britanică de energie electrică Elexon. Acestea includ 1.280 de fișiere, inclusiv pașapoarte ale angajaților și informații corporative confidențiale.
La 14.05. a.c., infractorii au lansat un atac cibernetic asupra Elexon, companie-cheie în sistemul de alimentare cu energie electrică din Marea Britanie. Incidentul a vizat doar rețeaua internă a companiei și laptopurile angajaților. Serverul de mail a fost de asemenea afectat, fiind ulterior deconectat. Potrivit experților, atacatorii au exploatat o vulnerabilitate (CVE-2019-11510) la nivelul versiunii depășite a serverului SSL VPN Pulse Secure, utilizat de companie.
Snapshoturi cu pașapoartele angajaților:


Reprezentanții Elexon au refuzat să îndeplinească cerințele răufăcătorilor și și-au refăcut infrastructura IT din backup-uri, ceea ce i-a determinat pe hackeri să publice datele furate.
Elexon joacă un rol esențial în piața de energie electrică cu ridicata, gestionând anual peste 1,5 miliarde de lire sterline din fondurile clienților săi.
În luna ianuarie a.c., aceeași grupare de hackeri a atacat cu ransomware compania de schimb valutar Travelex.
Sursa: https://www.securitylab.ru/news/508790.php