信息化觀察網(wǎng)

在最近針對Microsoft Exchange服務器的ProxyLogon攻擊中，研究人員發(fā)現(xiàn)Black Kingdom勒索軟件，該勒索軟件目前通過簡單的密碼重置被阻止，至少暫時是這樣。

Emsisoft公司威脅分析師Brett Callow告訴SearchSecurity，Black Kingdom被設計為生成加密密鑰，并將其上傳到云存儲服務Mega。但是，他補充說，如果勒索軟件無法訪問Mega，則默認為靜態(tài)本地密鑰。在最近的攻擊中的某些時候，Black Kingdom似乎無法加密目標系統(tǒng)，并且在某些情況下默認為靜態(tài)密鑰。Callow說：“有人將密碼更改為Mega帳戶，這意味著勒索軟件無法訪問該密碼，并恢復為使用硬編碼密鑰，這意味著我們可以幫助人們恢復其數(shù)據(jù)，因為我們擁有硬編碼密鑰。”

盡管目前尚不清楚密碼何時被更改，但Callow在周一早上將有關消息告知SearchSecurity(SearchSecurity同意不立即發(fā)布信息，以避免讓Black Kingdom威脅者知道其勒索軟件已被破壞)。

Sophos公司下一代技術工程總監(jiān)Mark Loman在博客文章中，談到該勒索軟件與Mega的內在聯(lián)系。Loman告訴SearchSecurity，因為存在靜態(tài)密鑰加密器，所以也可以用該靜態(tài)密鑰解密。他還確認該勒索軟件無法連接到Mega。“

目前，該勒索軟件無法連接到Mega，因為我嘗試過用戶名和密碼。因此，這意味著，如果目前有Black Kingdom勒索軟件攻擊受害者，他們可能受到另一種新版本的攻擊，或者使用其他用戶名或憑據(jù)，你可以使用靜態(tài)密鑰解密，但仍然需要解密器。”

Callow在電子郵件中解釋說，目前情況仍然如此，并且當前版本的Black Kingdom仍是恐嚇軟件;威脅研究人員對Black Kingdom的早期報道稱，該勒索軟件實際上并未對系統(tǒng)進行加密，盡管Loman在博客中指出，至少有一名受害者已經(jīng)支付贖金。

Callow說，這可能意味著攻擊者已經(jīng)放棄將Black Kingdom變成直接的勒索軟件活動。“攻擊者可能遇到技術或其他問題，因此他們決定將其轉換為恐嚇軟件，希望仍然能夠賺到一些錢。”

Loman說，這是他第一次看到Mega用于存儲加密密鑰，并且，通常勒索軟件會使用公共/私有RSA方案。他補充說，大型勒索軟件組通常在數(shù)據(jù)滲透過程中使用Mega和Dropbox等文件存儲服務，因為這些服務通常不會被防火墻阻止。

Mega是由Megaupload的創(chuàng)始人Kim Dotcom于2013年創(chuàng)立，在前一年，Megaupload因涉嫌盜版和侵犯版權的指控而被美國司法部查封;Dotcom在2015年與Mega斷絕關系。

Loman表示，Black Kingdom密鑰存儲并不能說明Mega存在道德問題，因為該站點無法可行地立即進行檢測。

Mega執(zhí)行主席Stephen Hall在電子郵件中告訴SearchSecurity：“我們不會記錄特定的勒索軟件可能導致上傳到Mega。我們只是立即關閉上傳者的帳戶，以防止受影響數(shù)據(jù)的進一步傳播。”

Black Kingdom是針對易受攻擊的Microsoft Exchange服務器的最新威脅，隨著本月初披露的四個零日漏洞的影響繼續(xù)擴展。在上周二，威脅情報供應商Kryptos Logic在其ProxyLogon掃描期間報告100,000個活躍的Web Shell。