Ransomware-ul Black Kingdom atacă companiile utilizând o vulnerabilitate a Pulse Secure VPN

Ransomware-ul criptează fișierele din computerle victimelor, adăugându-le extensia .DEMON, solicitând 10 mii de dolari.

image

Operatorii ransomware-ului Black Kingdom atacă întreprinderile care folosesc Pulse Secure VPN.

Programul malițios a intrat într-un honeypot (mecanism pentru detectarea sau respingerea incercarilor de utilizare neautorizata a sistemelor) al companiei poloneze de cyber security REDTEAM.PL, iar cercetătorii au avut astfel posibilitatea de a-l studia și descrie.

Atacatorii exploatează vulnerabilitatea critică CVE-2019-11510  din Pulse Secure VPN, corectată în aprilie 2019. În ciuda numeroaselor notificări de securitate legate de această vulnerabilitate, multe întreprinderi nu și-au actualizat setările Pulse Secure VPN, ceea ce permite Black Kingdom să se desfășoare.

Conform analizei efectuate de specialiștii polonezi, Black Kingdom manifestă persistența în sistem, creând o sarcină (task) falsă Google Chrome care diferă de cea legitimă printr-o singură literă (GoogleUpdateTaskMachineUSA – sarcina creată de Black Kingdom, GoogleUpdateTaskMachineUA – sarcina legitimă Google Chrome).

Aici puteți găsi  o analiză mai detaliată a programului malițios.

Black Kingdom a fost descoperit pentru prima dată în luna efbruarie 2020. Ransomware-ul criptează fișierele din computerul victimelor, adăugându-le extensia .DEMON și solicită 10 mii de dolari în bitcoin pentru a le decripta. Dacă victima refuză să plătească, atacatorii amenință că vor distruge sau vinde fișierele criptate. În momentul scrierii știrii, soldul portofelului Bitcoin indicat în nota de răscumpărare era de doar 0,55 BTC (aproximativ 5.200 USD).

Sursa: https://www.securitylab.ru/news/509198.php