Dopo DearCry, un altro ransomware, noto con il nome di Black Kingdom, ha iniziato a prendere di mira i server Exchange che risultano ancora privi di patch contro le vulnerabilità RCE (Remote Code Execution) ProxyLogon (CVE-2021-27065) rivelate da Microsoft all’inizio del mese.
Dai primi campioni analizzati, il nuovo ransomware Black Kingdom sembrerebbe essere analogo a quello che lo scorso anno sfruttava, per la sua diffusione, le versioni esposte del software Pulse Secure VPN Concentrator.
Indice degli argomenti
La consegna del ransomware Black Kingdom
Questo ransomware, scoperto appena il 18 marzo, anche se meno sofisticato nella sua implementazione, rappresenterebbe comunque, secondo i ricercatori Sophos, un’insidiosa minaccia.
Dopo aver violato con successo il server Exchange, gli autori responsabili procedono alla consegna di una web shell (ChackLogsPL.aspx, ckPassPL.aspx, hackIdIO.aspx) memorizzandola in C:/Program Files/Microsoft/Exchange Server/V15/FrontEnd/HttpProxy/owa/auth/… per ottenere l’accesso remoto al server compromesso e avviare, così, la catena di infezione.
La web shell è eseguita sfruttando la componente software w3wp.exe, un processo di lavoro legittimo all’interno del server Web di Microsoft Internet Information Service (IIS).
Black Kingdom: l’analisi del codice sorgente
La decompilazione, fatta dai ricercatori, del binario del ransomware nel suo codice sorgente ha consentito di ricostruire l’iter algoritmico.
Dopo la distribuzione della web shell, l’attacco procede emettendo un comando PowerShell. In particolare, tale comando viene inviato per la decodifica di uno script Python che preleva ed esegue il payload finale (.exe), invocando l’interfaccia di gestione di Windows Win32_Process (WMI), diffondendolo anche lateralmente sugli altri computer della stessa rete del target.
L’eseguibile viene scaricato dal dominio hxxp://yuuuuu44[.]com/vpn-service /[stringa alfabetica]/crunchyroll-vpn e copiato in C:/Windows/System32/[stringa alfabetica].exe dove le stringhe alfabetiche vengono generate in modo random.
Una volta avviato, Black Kingdom è in grado di effettuare le seguenti operazioni:
- terminare i servizi SQL in esecuzione per poter crittografare i database presenti sul dispositivo evitando eventuali errori;
- generare una stringa casuale di 64 caratteri di lunghezza da utilizzare come chiave di crittografia dopo averne eseguito l’hashing MD5 e averla convertita in caratteri esadecimali;
- creare un identificatore gen_id incorporato nella nota del riscatto per identificare la vittima in modo univoco;
- caricare su un account di archiviazione cloud http://mega.io sia l’identificatore gen_id che la chiave crittografica;
- escludere dalla crittografia alcune cartelle prestabilite: C:/ProgramData, C:/Program Files (x86), C://Program Files, AppData/Roaming, AppData/LocalLow, AppData/Local e procedere a cifrare file e documenti tramite un algoritmo lineare e semplice suddiviso in 9 step che legge il file originale, lo sovrascrive con il file crittografato e lo rinomina;
- disabilitare mouse e tastiera e generare una nota di riscatto, che archiviata anche nel file decrypt_file.TxT appare a schermo intero con un countdown.
La nota del riscatto
Nella nota del riscatto gli attaccanti, suddividendo il testo in tre sezioni (We Are Back?, What guarantees?, How to contact us and recover all of your files?) spiegano l’accaduto, danno la possibilità di una controprova e indicano le modalità da seguire per recuperare tutti i file, documenti, immagini e database che sono stati cifrati.
Intimando una forte pressione psicologica, minacciando anche un eventuale data leak in assenza di un pronto riscontro, forniscono in dettaglio il punto di contatto, l’indirizzo bitcoin dove versare la somma richiesta e delle precise istruzioni per ottenere la chiave privata di decrittografia e confermare l’avvenuto pagamento.
Azioni di mitigazione del ransomware Back Kingdom
Il gruppo di ricerca purtroppo non è riuscito a geolocalizzare e identificare la matrice criminale degli attaccanti poiché gli indirizzi IP tracciati come sorgente delle attività (185.220.101.204 e 185.220.101.216) appartengono a un nodo Tor, ma ha potuto costatare dalle transazioni relative al wallet di criptovaluta indicato per il riscatto che il bottino accumulato è già stato prelevato dall’attore della minaccia.
Risulta pertanto raccomandabile, oltre che non pagare alcun riscatto (cedere al ricatto non garantirebbe la risoluzione del problema ma potrebbe invece innescare un ulteriore accanimento estorsivo volto ad ottenere altro denaro), procedere al più presto all’installazione delle patch rese disponibili per risolvere le vulnerabilità di Microsoft Exchange Server, valutare l’implementazione sui propri apparati di sicurezza gli IoC pubblicati e relativi al ransomware in oggetto e seguire gli aggiornamenti sull’incidente MS Exchange puntualmente riportati dal CSIRT Italia.
