Een groep criminelen achter de Black Kingdom-ransomware heeft wereldwijd zo'n 1500 Exchange-servers geïnfecteerd met een webshell, wat grote gevolgen voor organisaties kan hebben, zo waarschuwt Microsoft. De groep maakt gebruik van vier kwetsbaarheden in Exchange 2013, 2016 en 2019 om kwetsbare systemen met een webshell te infecteren. Via deze webshell behouden de aanvallers hun toegang tot de server, ook als die wordt gepatcht.
Via de webshell wordt uiteindelijk de Black Kingdom-ransomware op de server geïnstalleerd. Deze ransomware, die ook bekendstaat als Pydomer, versleutelt allerlei bestanden op het systeem, waaronder exe-, dll- en sys-bestanden, waardoor het systeem niet meer werkt, stelt beveiligingsonderzoeker Marcus Hutchins. Microsoft heeft de webshells van de ransomwaregroep op zo'n 1500 Exchange-servers aangetroffen.
Een groot deel van deze infecties vond plaats in de periode van 18 tot en met 20 maart. Volgens het techbedrijf is de ransomwaregroep later dan sommige andere aanvallers begonnen met de aanvallen, waardoor er minder kwetsbare Exchange-servers waren te vinden. Hoewel de groep toegang tot zo'n 1500 Exchange-servers heeft is nog niet op al deze machines ransomware geïnstalleerd. De Black Kingdom-groep had het eerder voorzien op kwetsbare Pulse Secure VPN-servers.
Deze posting is gelocked. Reageren is niet meer mogelijk.