Mega密碼重置阻止Black Kingdom勒索軟件

在最近針對Microsoft Exchange服務(wù)器的ProxyLogon攻擊中，研究人員發(fā)現Black Kingdom勒索軟件，該勒索軟件目前通過(guò)簡(jiǎn)單的密碼重置被阻止，至少暫時(shí)是這樣。

Emsisoft公司威脅分析師Brett Callow告訴SearchSecurity，Black Kingdom被設計為生成加密密鑰，并將其上傳到云存儲服務(wù)Mega。但是，他補充說(shuō)，如果勒索軟件無(wú)法訪(fǎng)問(wèn)Mega，則默認為靜態(tài)本地密鑰。在最近的攻擊中的某些時(shí)候，Black Kingdom似乎無(wú)法加密目標系統，并且在某些情況下默認為靜態(tài)密鑰。

Callow說(shuō)：“有人將密碼更改為Mega帳戶(hù)，這意味著(zhù)勒索軟件無(wú)法訪(fǎng)問(wèn)該密碼，并恢復為使用硬編碼密鑰，這意味著(zhù)我們可以幫助人們恢復其數據，因為我們擁有硬編碼密鑰?！?/p>

盡管目前尚不清楚密碼何時(shí)被更改，但Callow在周一早上將有關(guān)消息告知SearchSecurity（SearchSecurity同意不立即發(fā)布信息，以避免讓Black Kingdom威脅者知道其勒索軟件已被破壞）。

Sophos公司下一代技術(shù)工程總監Mark Loman在博客文章中，談到該勒索軟件與Mega的內在聯(lián)系。Loman告訴SearchSecurity，因為存在靜態(tài)密鑰加密器，所以也可以用該靜態(tài)密鑰解密。他還確認該勒索軟件無(wú)法連接到Mega。

“目前，該勒索軟件無(wú)法連接到Mega，因為我嘗試過(guò)用戶(hù)名和密碼。因此，這意味著(zhù)，如果目前有Black Kingdom勒索軟件攻擊受害者，他們可能受到另一種新版本的攻擊，或者使用其他用戶(hù)名或憑據，你可以使用靜態(tài)密鑰解密，但仍然需要解密器?！?/p>

Callow在電子郵件中解釋說(shuō)，目前情況仍然如此，并且當前版本的Black Kingdom仍是恐嚇軟件；威脅研究人員對Black Kingdom的早期報道稱(chēng)，該勒索軟件實(shí)際上并未對系統進(jìn)行加密，盡管Loman在博客中指出，至少有一名受害者已經(jīng)支付贖金。

Callow說(shuō)，這可能意味著(zhù)攻擊者已經(jīng)放棄將Black Kingdom變成直接的勒索軟件活動(dòng)?！肮粽呖赡苡龅郊夹g(shù)或其他問(wèn)題，因此他們決定將其轉換為恐嚇軟件，希望仍然能夠賺到一些錢(qián)?！?/p>

Loman說(shuō)，這是他第一次看到Mega用于存儲加密密鑰，并且，通常勒索軟件會(huì )使用公共/私有RSA方案。他補充說(shuō)，大型勒索軟件組通常在數據滲透過(guò)程中使用Mega和Dropbox等文件存儲服務(wù)，因為這些服務(wù)通常不會(huì )被防火墻阻止。

Mega是由Megaupload的創(chuàng )始人Kim Dotcom于2013年創(chuàng )立，在前一年，Megaupload因涉嫌盜版和侵犯版權的指控而被美國司法部查封；Dotcom在2015年與Mega斷絕關(guān)系。

Loman表示，Black Kingdom密鑰存儲并不能說(shuō)明Mega存在道德問(wèn)題，因為該站點(diǎn)無(wú)法可行地立即進(jìn)行檢測。

Mega執行主席Stephen Hall在電子郵件中告訴SearchSecurity：“我們不會(huì )記錄特定的勒索軟件可能導致上傳到Mega。我們只是立即關(guān)閉上傳者的帳戶(hù)，以防止受影響數據的進(jìn)一步傳播?！?/p>

Black Kingdom是針對易受攻擊的Microsoft Exchange服務(wù)器的最新威脅，隨著(zhù)本月初披露的四個(gè)零日漏洞的影響繼續擴展。在上周二，威脅情報供應商Kryptos Logic在其ProxyLogon掃描期間報告100,000個(gè)活躍的Web Shell。