Black Kingdom Ransomware encontrado atacando VPN Pluse sin parches

reino negro los atacantes de ransomware han descubierto que están explotando Pulse Secure VPN. Estas VPN tienen una vulnerabilidad conocida reportada en el último año, pero muchas organizaciones que no las han parcheado son objetivos de Blank Kingdom ahora. READTEAM.PL, un grupo de ciberseguridad se encontró con este nuevo ataque cuando los atacantes de ransomware atacaron sus honeypots.

¡Caído en un Honeypot!

Como REDTEAM.PL grupo descubierto, Black Kingdom ransomware ha explotado una vulnerabilidad conocida (CVE-2019-11510) en Pulse Secure VPN, que se lanzó el año pasado. El gobierno de Estados Unidos ha advertido de este ataque varias veces desde entonces. Sin embargo, muchas organizaciones que utilizan esta VPN no han aplicado el parche disponible y, por lo tanto, son vulnerables a los ataques.

Ransomware del Reino Negro
Ransomware del Reino Negro

Como dijeron los investigadores, este grupo de ransomware está obteniendo acceso a la red haciéndose pasar por una herramienta legítima de tareas programadas en Google Chrome, que se ejecuta en un código de cadena codificado en Base64. Esto estaba disponible en una ventana oculta de PowerShell que obtiene un script llamado «reverse.ps1“Que se usa para abrir un caparazón inverso en la máquina de la víctima.

Al rastrear el script reverse.ps1, la dirección IP que lo almacena se detalla como 198.13.49.179, alojado por Choopa, un proveedor de VPS económico popular entre los ciberdelincuentes.

Un examen más detenido revela que hay tres dominios, como host.cutestboty.com, keepass.cutestboty.com, y anno1119.com vinculado a esa dirección IP, donde el tercer dominio de esa IP está conectado a los servidores de Italia y EE. UU. ¡Y estos dominios albergan minería de criptomonedas y malware de Android!

Ransomware del Reino Negro
Ransomware del Reino Negro

Según las muestras encontradas en el informe REDTEAM.PL, al contactar la dirección IP se mostró una nota de ransomware, que solicitaba que se depositaran $ 10,000 en Bitcoin dentro de un tiempo estipulado; de lo contrario, los datos de red / PC robados se venderán y destruirán. Una verificación adicional de la dirección de Bitcoin proporcionada no reveló fondos en la billetera, sino una entrada o procesamiento de 0.55 Bitcoin.

A través de la: BleepingComputadora