Black Kingdom Ransomware trouvé en train d'attaquer des VPN Plus non corrigés

0


Black Kingdom Des attaquants de ransomware ont découvert qu'ils exploitaient Pulse Secure VPNs. Ces VPN ont une vulnérabilité connue signalée l'année dernière, mais de nombreuses organisations qui n'ont pas encore corrigé, sont désormais la cible de Blank Kingdom. READTEAM.PL un groupe de cybersécurité a trouvé cette nouvelle attaque, lorsque les attaquants ransomware ont ciblé leurs pots de miel.

Tombé dans un pot de miel!

Comme le groupe REDTEAM.PL l'a découvert, le rançongiciel Black Kingdom a exploité une vulnérabilité connue (CVE-2019-11510) dans Pulse Secure VPNs, qui a été révélée l'année dernière. Depuis lors, le gouvernement américain a mis en garde contre cette attaque à plusieurs reprises. Pourtant, de nombreuses organisations utilisant ce VPN n'ont pas appliqué le correctif disponible, donc vulnérables aux attaques.

 Black Kingdom Ransomware "width =" 800 "height =" 420 "srcset =" " data-srcset = "https://legameur.com/wp-content/uploads/2020/06/black-kingdom-ransomware-trouve-en-train-dattaquer-des-vpn-plus-non-corriges.jpg 800w, https://techdator.net/wp-content/uploads/ 2020/06 / Black-Kingdom-Ransomware-1-1-300x158.jpg 300w, https://techdator.net/wp-content/uploads/2020/06/Black-Kingdom-Ransomware-1-1-768x403.jpg 768w, https://techdator.net/wp-content/uploads/2020/06/Black-Kingdom-Ransomware-1-1-696x365.jpg 696w "tailles =" (largeur max: 800px) 100vw, 800px "/ > <noscript> <img class= Black Kingdom Ransomware

Comme l'ont dit les chercheurs, ce groupe de ransomware accède au réseau en usurpant l'identité de la tâche planifiée de l'outil légitime dans Google Chrome, qui s'exécute sur le code de chaîne encodé en Base64. Cela était disponible dans une fenêtre PowerShell cachée qui fournit un script appelé " reverse.ps1 " qui est utilisé pour ouvrir un shell inversé sur la machine de la victime.

suivi du script reverse.ps1, l'adresse IP le stockant a été détaillée comme 198.13.49.179 qui est hébergée par Choopa, un fournisseur VPS bon marché populaire parmi les cybercriminels .

Un examen plus approfondi révèle qu'il existe trois domaines comme host.cutestboty.com , keepass.cutestboty.com, et anno1119.com lié à cette adresse IP, où le troisième domaine est connecté aux serveurs Italie et États-Unis. Et ces domaines hébergent l'extraction de crypto-monnaie et les logiciels malveillants Android!

 Black Kingdom ransomware "width =" 1366 "height =" 768 "srcset =" "data-srcset =" https: // techdator.net/wp-content/uploads/2020/06/blackkingdom_rnsm2681633038593094669-1-1.png 1366w, https://techdator.net/wp-content/uploads/2020/06/blackkingdom_rnsm2681633038593094669-1-1-300x169.ng 300w, https://techdator.net/wp-content/uploads/2020/06/blackkingdom_rnsm2681633038593094669-1-1-1024x576.png 1024w, https://techdator.net/wp-content/uploads/2020/06/blackkingdom_rnsm2681633038593094 -1-1-768x432.png 768w, https://techdator.net/wp-content/uploads/2020/06/blackkingdom_rnsm2681633038593094669-1-1-696x391.png 696w, https://techdator.net/wp-content /uploads/2020/06/blackkingdom_rnsm2681633038593094669-1-1-1068x600.png 1068w, https://techdator.net/wp-content/uploads/2020/06/blackkingdom_rnsm2681633038593094669-1-1-747x420.png 747w (largeur max: 1366px) 100vw, 1366px "/> <noscript> <img class= Ransomware Black Kingdom

]

Comme des échantillons trouvés dans le rapport de REDTEAM.PL, contacter le I L'adresse P a montré une note de ransomware, qui demandait un dépôt de 10000 $ en Bitcoin dans un délai stipulé, sinon les données volées sur PC / réseau seront vendues et détruites. Une vérification plus approfondie de l'adresse Bitcoin donnée n'a révélé aucun fonds dans le portefeuille, mais un Bitcoin 0,55 entrant ou en cours.

Via: BleepingComputer

Leave A Reply

Your email address will not be published.