Actualités

Exchange Server : après DearCry, mise en lumière d’un nouveau ransomware nommé Black KingDom !

Microsoft avait prévenu : une nouvelle famille de ransomware avait été observée. Après DearCry, les chercheurs de Sophos confirment techniquement l’information via l’avènement dans le paysage d’Exchange Server de Black KingDom…

 

 

Le ransomware Black KingDom est loin d’être la charge utile la plus sophistiquée que nous ayons vue. En fait, nos premières analyses révèlent qu’il est quelque peu rudimentaire et amateur dans sa composition, mais qu’il peut encore causer beaucoup de dégâts […] La livraison de Black KingDom a été orchestrée à partir d’un serveur distant avec une adresse IP géolocalisée en Allemagne, 185.220.101.204, tandis que l’attaquant opérait à partir de 185.220.101.216. Malheureusement, comme les deux adresses IP appartiennent à un nœud de sortie Tor, il est impossible de savoir où se trouvent physiquement les attaquants“, indique le billet sécuritaire tout en confirmant que la vulnérabilité CVE-2021-27065 (ProxyLogon) sert de socle à la cyber-attaque. Une fois ProxyLogon exploité, une exécution arbitraire de code peut être effective par le truchement de ChackLogsPL.aspx (WebShell) voire d’autres fichiers ou outils complémentaires assimilés tels que ckPassPL.aspx et hackldl0.aspx.

 

Le PoC ainsi démontré met en relief l’usage d’un binaire reposant sur un script Python (PyInstaller) : les investigations ont révélé un “code source 0xfff.py dont le fff représente une valeur hexadécimale pour le nombre décimal 4 095” sans pour autant dégager une conclusion derrière ce fait. Le chiffrement s’installe progressivement : les serveurs sous SQL (avec bases de données…) sont arrêter en tant que processus en cours. Dans la foulée, moultes fonctions algorithmiques sont dégainées par le ransomware : gen_string (randomisation 64 caractères) qui convertit – avec hashage MD5 – la chaîne en hexadécimal (eebf143cf615ecbe2ede01527f8178b3) pour incarner la clé de chiffrement, gen_id qui sera transféré avec gen_string vers Mega.io avec, en cas de soucis technique ou impromptu, une clé de secours fixe, “codée en dur”. Le chiffrement se fait par écrasement de données, après lecture pour pouvoir, en finalité, renommer les contenus.

Au bout d’environ 20 minutes, après le chiffrement, les composants ou fichiers du terminal infecté ne répondent plus ; logiciellement ou matériellement (clavier, souris…), via une sous-routine programmée dédiée… A veiller !

 

 

Source : Sophos – 23 Mars 2021 – Exchange Server : Black KingDom, nouveau ransomware (PoC).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0