Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс.
https://www.securitylab.ru/upload/ib...39f41307ca.png
Операторы вымогательского ПО Black Kingdom атакуют предприятия, использующие уязвимые установки ПО Pulse Secure VPN. Вредонос попался в один из ханипотов польской ИБ-компании REDTEAM.PL, благодаря чему исследователи смогли изучить его и описать.
Злоумышленники эксплуатируют критическую уязвимость CVE-2019-11510 в Pulse Secure VPN, исправленную в апреле прошлого года. Несмотря на множественные уведомления безопасности от правительственных организаций и https://www.securitylab.ru/news/506831.phphttps://www.securitylab.ru/news/505118.phpее https://www.securitylab.ru/news/508352.phpв реальных атаках, многие предприятия так и не обновили свои установки Pulse Secure VPN.
Как выяснили исследователи, Black Kingdom сохраняет персистентность на системе, создавая поддельную задачу Google Chrome, отличающуюся от легитимной всего лишь одной буквой (GoogleUpdateTaskMachineUSA – задача, создаваемая Black Kingdom, GoogleUpdateTaskMachineUA – легитимная задача Google Chrome).С более подробным анализом вредоноса можно ознакомиться https://blog.redteam.pl/2020/06/blac...ansomware.html.
Black Kingdom был впервые обнаружен в феврале 2020 года. Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс. в биткойнах за их расшифровку. Если жертва откажется платить, злоумышленники угрожают уничтожить или продать зашифрованные файлы.
На момент написания новости баланс биткойн-кошелька, указанного в записке с требованием выкупа, составлял только 0,55 BTC (около $5,2 тыс.).