Operasi ransomware lain yang dikenal sebagai ‘Black Kingdom’ mengeksploitasi kerentanan Microsoft Exchange Server ProxyLogon untuk mengenkripsi server.
Selama akhir pekan, peneliti keamanan Marcus Hutchins, alias MalwareTechBlog, men-tweet bahwa pelaku ancaman membahayakan server Microsoft Exchange melalui kerentanan ProxyLogon untuk menyebarkan ransomware.
Berdasarkan log dari honeypots-nya, Hutchins menyatakan bahwa pelaku ancaman menggunakan kerentanan untuk menjalankan skrip PowerShell yang mengunduh ransomware yang dapat dieksekusi dari ‘yuuuuu44[.]Com’ dan kemudian mendorongnya ke komputer lain di jaringan.
Michael Gillespie, pencipta ID Ransomware, memberi tahu BleepingComputer bahwa sistemnya telah melihat lebih dari 30 pengiriman unik ke sistemnya, dengan banyak yang dikirim langsung dari server email.
Korban berada di AS, Kanada, Austria, Swiss, Rusia, Prancis, Israel, Inggris, Italia, Jerman, Yunani, Australia, dan Kroasia.
Saat mengenkripsi perangkat, ransomware akan mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT, seperti yang ditunjukkan di bawah ini.
Black Kingdom adalah ransomware terkonfirmasi kedua setelah DearCry ransomware yang menargetkan kerentanan Microsoft Exchange ProxyLogon.
Sumber: Bleeping Computer
