O ransomware Black Kingdom viola redes com defeitos na VPN Pulse

Os operadores de ransomware da Black Kingdom visam às empresas com o software Pulse Secure VPN sem patch, de acordo com pesquisadores de segurança.

Ransomware Black Kingdom

O malware foi preso em um honeypot, permitindo que os pesquisadores analisassem e documentassem as táticas usadas pelos fatores de ameaça.

Eles aproveitam o CVE-2019-11510, uma vulnerabilidade crítica que afeta as versões mais antigas da Pulse Secure VPN que foram reparadas em abril de 2019. As empresas atrasaram a atualização de seu software mesmo após a publicação de explorações, com o governo dos EUA e alguns agentes. ameaça de explorá-lo – algumas organizações continuam executando uma versão vulnerável do produto.

A REDTEAM.PL, uma empresa de segurança cibernética sediada na Polônia, disse que as operadoras do Black Kingdom usavam a mesma porta fornecida pela Pulse Secure VPN para violar o que eles pensavam ser um alvo.

A partir das observações dos pesquisadores, o ransomware identificou persistência com o rosto falso de um trabalho legalmente programado para o Google Chrome, com apenas uma letra fazendo a diferença:

De acordo com a análise do REDTEAM.PL, o projeto planejado executa um código de seqüência de caracteres codificado em Base64 em uma janela oculta do PowerShell para obter um script chamado “reverse.ps1” que provavelmente é usado para abrir um “shell reverso” no infrator. computador principal.

Adam Ziaja, do REDTEAM.PL, disse que o script não pôde ser recuperado do servidor remoto controlado pelo invasor, provavelmente porque o servidor que o hospedou havia sido desligado antes da entrega da carga.

O endereço IP em que “reverse.ps1” residia é 198.13.49.179, gerenciado por Choopa, uma subsidiária da Vultr, conhecida por seus servidores virtuais privados baratos (VPS). Esses servidores também são usados ​​por criminosos cibernéticos para hospedar ferramentas maliciosas.

Ransomware Black Kingdom

Aparência recente

O ransomware Black Kingdom foi detectado pela primeira vez no final de fevereiro pelo pesquisador de segurança GrujaRS, que descobriu que acompanhava a extensão .DEMON para arquivos criptografados.

A amostra analisada foi contatada pelo mesmo endereço IP encontrado no relatório REDTEAM.PL. A seguinte nota de resgate apareceu pedindo que $ 10.000 fossem depositados em uma carteira de bitcoin e ameaçando que, se não o fizesse, levaria à destruição ou venda dos dados.

Ransomware Black Kingdom