Black Kingdom è il nuovo ransomware, ovvero un malware che blocca l’accesso del dispositivo con un riscatto, che sta prendendo di mira i server Microsoft Exchange privi di patch contro le vulnerabilità ProxyLogon.
Scoperto il 18 marzo, secondo i ricercatori Sophos, anche se meno sofisticato nella sua implementazione, rappresenta comunque una minaccia.

Cosa succede se il server Exchange viene violato?

Il ransomware procede con la consegna di una web shell, per ottenere l’accesso remoto al server compromesso e avviare la catena di infezione.
Ecco alcune delle cose che Black Kingdom è in grado di fare una volta avviato:

  • terminare i servizi SQL in esecuzione;
  • creare un identificatore gen_id incorporato nella nota del riscatto per identificare la vittima in modo univoco;
  • caricare su un account di archiviazione cloud, sia l’identificatore gen_id, che la chiave crittografica;
  • disabilitare mouse e tastiera e generare una nota di riscatto, che appare a schermo intero con un countdown.

Nella nota di riscatto, gli autori responsabili della violazione spiegano cosa è successo ed indicano i passaggi da seguire per recuperare tutti i file e database.

Cosa è raccomandabile fare?

Procedere al più presto all’installazione delle patch rese disponibili per risolvere le vulnerabilità di Microsoft Exchange Server.
Si raccomanda inoltre, di non pagare alcun riscatto, perché cedere al ricatto non garantirebbe la risoluzione del problema, anzi potrebbe innescare un ulteriore accanimento estorsivo per ottenere altro denaro.

Fonte e articolo completo: https://www.cybersecurity360.it/nuove-minacce/ransomware/black-kingdom-il-nuovo-ransomware-che-prende-di-mira-i-server-exchange-senza-patch-i-dettagli/

Contattaci per maggiori informazioni o per supporto tecnico.