锁定Exchange服务器漏洞的勒索软件攻击再起

微软Exchange服务器漏洞攻击尚难停歇。安全研究人员发现，继DearCry之后，又有一只名Black Kingdom的勒索软件，正在锁定未修补ProxyLogon漏洞的服务器发动攻击。

代号MalwareTech的资安研究人员Marcus Hutchins设立的诱捕系统，上周末被人执行了Power Shell script，从yuuuuu44[.]com网域下载Black Kingdom。Black Kingdom虽在他的系统上各个目录下留下勒索软件讯息档，但并未加密任何档案。

同一攻击者上周也在Hutchins的系统上执行Power Shell script，企图下载py2exe，且试图将这个执行档散布到网络上所有系统，不过script没有执行成功。他相信py2exe就是Black Kingdom，而且似乎发送范围也相当广，但不确定有多少台Exchange服务器遭到感染。

主持勒索软件辨识网站ID Ransomware的研究人员Michael Gillespie继两周前发现DearCry后，也在上周发现Black Kingdom。不同于Hutchins的情形，Gillespie对Bleeping Computer 表示，Black Kingdom已成功加密装置上的档案。档案被加密后会产生随机副档名的档案，且留下decryt_file.TXT的勒索讯息文字档，也和Hutchins发现的ReadMe.txt不同。Black Kingdom受害者都被勒索1万美元。

Gillespie的网站收到的受害者分布多国，包括美、加、澳洲、奥地利及英、德、法、瑞士、意大利、以色列、俄罗斯、希腊、克罗地亚等地。

不过从Black Kingdom执行不成功等迹象，Hutchins认为这只是一个学艺不精的人写的勒索软件。它的电子钱包也没什么动静，三天内只收到1次付款。

去年6月也有一只名为Black Kingdom的勒索软件，专门开采Pulse VPN漏洞。研究人员目前尚未确定两个Black Kingdom是否为同一只。

宏碁本周末被爆遭勒索软件攻击，据传被勒索了创下史上最高的5千万美元。研究人员发现，这只恶意程式可能也是利用Exchange漏洞成功骇入宏碁。至于宏碁遭到何种勒索软件攻击也不得而知。

更新Exchange服务器是最保险的防护，针对无法及时安装更新版软件的企业，微软上周也释出一键缓解工具EOMT，此外，Microsoft Defender Antivirus也已可缓解CVE-2021-26855，封住骇入Exchange 服务器的第一道破口。