Nuovo ransomware che prende di mira i server Exchange

Black Kingdom è il nuovo ransomware, ovvero un malware che blocca l’accesso del dispositivo con un riscatto, che sta prendendo di mira i server Microsoft Exchange privi di patch contro le vulnerabilità ProxyLogon.
Scoperto il 18 marzo, secondo i ricercatori Sophos, anche se meno sofisticato nella sua implementazione, rappresenta comunque una minaccia.

Cosa succede se il server Exchange viene violato?

Il ransomware procede con la consegna di una web shell, per ottenere l’accesso remoto al server compromesso e avviare la catena di infezione.
Ecco alcune delle cose che Black Kingdom è in grado di fare una volta avviato:

terminare i servizi SQL in esecuzione;
creare un identificatore gen_id incorporato nella nota del riscatto per identificare la vittima in modo univoco;
caricare su un account di archiviazione cloud, sia l’identificatore gen_id, che la chiave crittografica;
disabilitare mouse e tastiera e generare una nota di riscatto, che appare a schermo intero con un countdown.

Nella nota di riscatto, gli autori responsabili della violazione spiegano cosa è successo ed indicano i passaggi da seguire per recuperare tutti i file e database.

Cosa è raccomandabile fare?

Procedere al più presto all’installazione delle patch rese disponibili per risolvere le vulnerabilità di Microsoft Exchange Server.
Si raccomanda inoltre, di non pagare alcun riscatto, perché cedere al ricatto non garantirebbe la risoluzione del problema, anzi potrebbe innescare un ulteriore accanimento estorsivo per ottenere altro denaro.

Fonte e articolo completo: https://www.cybersecurity360.it/nuove-minacce/ransomware/black-kingdom-il-nuovo-ransomware-che-prende-di-mira-i-server-exchange-senza-patch-i-dettagli/

Contattaci per maggiori informazioni o per supporto tecnico.

Cookie	Durata	Descrizione
_GRECAPTCHA	6 months	Il servizio Google Recaptcha imposta questo cookie per identificare i bot per proteggere il sito Web da attacchi di spam dannosi.
cookielawinfo-checkbox-analytics	1 year	Impostato dal plug-in GDPR Cookie Consent, questo cookie registra il consenso dell'utente per i cookie nella categoria "Statistica".
cookielawinfo-checkbox-necessary	1 year	Impostato dal plug-in GDPR Cookie Consent, questo cookie registra il consenso dell'utente per i cookie nella categoria "Necessari".
CookieLawInfoConsent	1 year	CookieYes imposta questo cookie per registrare lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie primario.
viewed_cookie_policy	1 year	Il plug-in GDPR Cookie Consent imposta il cookie per memorizzare se l'utente ha acconsentito o meno all'utilizzo dei cookie. Non memorizza alcun dato personale.
wpEmojiSettingsSupports	session	WordPress imposta questo cookie quando un utente interagisce con gli emoji su un sito WordPress. Aiuta a determinare se il browser dell'utente può visualizzare correttamente gli emoji.

Cookie	Durata	Descrizione
_fbp	3 months	Facebook imposta questo cookie per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook dopo aver visitato il sito web.
_ga	1 year 1 month 4 days	Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e monitorare l'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato in modo casuale per riconoscere i visitatori unici.
_ga_*	1 year 1 month 4 days	Google Analytics imposta questo cookie per memorizzare e contare le visualizzazioni di pagina.