Microsoft ha pubblicato un aggiornamento sull’indagine avviata in seguito alla scoperta delle quattro vulnerabilità ProxyLogon in Exchange Server. Dopo aver rilasciato le patch, un mitigation tool e una nuova versione di Defender, l’azienda di Redmond ha notato che oltre il 92% dei server sono ora protetti. Tuttavia gli attacchi non sono terminati, come dimostra la scoperta del ransomware Pydomer (alias Black Kingdom).
Pydomer, nuovo ransomware per Exchange Server
Tutti gli attacchi rilevati da Microsoft utilizzano una web shell come porta di ingresso al server. I primi cybercriminali che hanno sfruttato le vulnerabilità sono quelli di Hafnium (legati al governo cinese). ESET ha scoperto almeno 10 gruppi impegnati in varie tipologie di attacchi effettuati tramite web shell, ransomware (DearCry/DoejoCrypt) e cryptominer (Lemon Duck).
L’attacco più recente (18-20 marzo) è stato effettuato tramite il ransomware Pydomer, noto anche come Black Kingdom. Dopo aver installato una web shell in circa 1.500 sistemi, i cybercriminali hanno scaricato e distribuito il ransomware sui vari computer della rete. Successivamente hanno eseguito uno script Python per cifrare i file. Per accedere nuovamente ai file, alle vittime viene chiesto un riscatto di 10.000 dollari in Bitcoin.
Gli autori del ransomware sottraggono diversi dati dai computer prima di avviare la procedura di cifratura. Si tratta di una opzione alternativa che viene sfruttata se la cifratura non viene effettuata correttamente o se non viene pagato il riscatto. In questi casi viene detto alle vittime che i dati verranno pubblicati online.