Sistemi Microsoft presi di mira dal ransomware “Black Kingdom”

Il malware codificato in Python contiene diversi errori amatoriali.

All’inizio di quest’anno i server Microsoft Exchange sono stati presi di mira da criminali informatici che hanno utilizzato una vulnerabilità nota per infettarli con il ransomware Black Kingdom. Ora la società di sicurezza informatica Kaspersky ha pubblicato un nuovo rapporto che fornisce ulteriori informazioni su come funziona questo ceppo di ransomware insieme a nuovi dettagli sui criminali informatici dietro di esso.

Sebbene il ransomware Black Kingdom sia apparso per la prima volta nel 2019, è diventato ampiamente noto nel marzo di quest’anno quando è stato utilizzato in una campagna che sfruttava la vulnerabilità ProxyLogon, tracciata come CVE-2021-27065, in Microsoft Exchange.

Tuttavia, in base all’analisi di Kaspersky del ransomware, si tratta di un’implementazione amatoriale con diversi errori e un difetto di crittografia critico che potrebbe consentire a chiunque di decrittografare i file interessati utilizzando una chiave codificata.

Black Kingdom ransomware

Sebbene l’obiettivo finale di qualsiasi ceppo di ransomware sia crittografare i file di un sistema, l’autore del ceppo di ransomware Black Kingdom, che è codificato in Python, ha deciso di specificare alcune cartelle da escludere dalla crittografia.

Il ransomware evita di crittografare i file Windows, ProgramData, Program Files, Program Filex (x86), AppData/Roaming, AppData/LocalLow e AppData/Local su un sistema mirato per evitare di violarlo durante la crittografia. Tuttavia, il modo in cui è scritto il codice che implementa questa funzionalità è stato un chiaro segno per Kaspersky che i suoi creatori potrebbero essere stati dei dilettanti.

Leggi anche:

• Il Cyber Polygon può generare una crisi molto più grave del Covid

Gli sviluppatori di Ransowmare spesso finiscono per commettere errori che possono consentire la decrittazione dei file facilmente o talvolta per niente. Il ransomware Black Kingdom, ad esempio, tenta di caricare la sua chiave di crittografia sul servizio di archiviazione cloud Mega. Tuttavia, se fallisce, viene utilizzata una chiave codificata per crittografare i file.

Se i file di un sistema sono stati crittografati e non è possibile stabilire una connessione a Mega, sarà possibile recuperare questi file crittografati utilizzando una chiave codificata.

Un altro errore commesso dai creatori di Black Kingdom e osservato dai ricercatori di Kaspersky è il fatto che tutte le loro note di ransomware contengono diversi errori e lo stesso indirizzo Bitcoin. Altre famiglie di ransomware forniscono un indirizzo univoco per ogni vittima, il che rende molto più difficile determinare chi ha creato il malware utilizzato in primo luogo.

Il ransomware Black Kingdom al momento non viene utilizzato dai criminali informatici per lanciare attacchi, ma le organizzazioni devono essere pronte per quando riapparirà. Per questo motivo, le organizzazioni vulnerabili dovrebbero dare un’occhiata più da vicino al rapporto di Kapsersky e, se non l’hanno ancora fatto, correggere i propri server Microsoft Exchange utilizzando lo strumento con un clic dell’azienda per farlo.

Pronti per la pandemia informatica?

Tutti questi attacchi informatici sono casuali o ci stanno preparando al disastro economico che potrebbe nascere dal tanto temuto Cyber Polygon?

Gli esperti di tutto il mondo suggeriscono di restare in guardia e di fare provviste di cibi a lunga conservazione perché un attacco informatico su vasta scala potrebbe creare danni economici e una crisi finanziaria peggiore di quella che stiamo vivendo a causa del Covid-19. 

Il termine “pandemia” è stato infatti abbinato anche all’informatica e questi continui attacchi subiti da varie aziende in tutto il mondo, sono un chiaro segnale che qualcosa di catastrofico potrebbe succere da un momento all’altro. 

L’Evento 201 ha simulato una pandemia mondiale e dopo pochi mesi abbiamo visto tutti quello che è successo. Ora stanno simulando un attacco informatico a livello mondiale e francamente, c’è poco da stare allegri…

Fonte

Ti potrebbe interessare:

• Tutti gli articoli dedicati alla sicurezza informatica

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Instagram: instagram.com/guruhitech_official
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Threads: threads.net/@guruhitech_official
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Che ne pensi di questo ransomware Black Kingdom? Lascia un commento nell’apposita sezione che trovi più in basso e se ti fa piacere, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].