Hay muchos tipos de amenazas que pueden poner en riesgo nuestros dispositivos, servidores y cualquier sistema conectado a la red. En este artículo nos hacemos eco de Black Kingdom, un nuevo ransomware que pone en problemas a los servidores de Microsoft Exchange. Se trata de un software que forma parte de Microsoft Server y que ya ha sido atacado en otras ocasiones mediante diferentes amenazas.
Black Kingdom, la última amenaza para Microsoft Exchange
En los últimos tiempos hemos visto diferentes problemas que han afectado a Microsoft Exchange. La vulnerabilidad de ProxyLogon ha sido una cuestión importante que se corrige a través de parches, pero que todavía son muchos los usuarios que no han actualizado los sistemas. El ransomware Black Kingdom se aprovecha precisamente de la vulnerabilidad de ProxyLogon. De esta forma consigue cifrar los servidores de las víctimas. El investigador de seguridad Marcus Hutchins está detrás de este descubrimiento y alertó del problema que afecta a Microsoft Exchange.
Se basa en los registros de sus honeypots y según indica el investigador de seguridad, utiliza la vulnerabilidad para ejecutar un script de PowerShell que descarga el ejecutable ransomware y posteriormente lo envía a otros equipos en la red. Hay que tener en cuenta que los honeypots son dispositivos con vulnerabilidades conocidas expuestas en Internet que pueden atraer a los atacantes y monitorear sus actividades. Sin embargo, los honeypots de Hutchins no parecían estar cifrados, y según parece se trataba de una campaña fallida.
Sin embargo, según los envíos al sitio de identificación de ransomware ID Ransomware, la campaña Black Kingdom ha cifrado los dispositivos de otras víctimas, y los primeros se vieron el 18 de marzo.
Las víctimas de esta amenaza de seguridad se encuentran repartidas por muchos países del mundo. Podemos nombrar principalmente a Estados Unidos, Canadá, Rusia y una gran variedad de naciones de Europa.
Una vez cifra los dispositivos, el ransomware cifrará los archivos utilizando extensiones aleatorias y luego creará una nota de rescate llamada decrypt_file.TxT. El investigador de seguridad Marcus Hutchins afirma que vio una nota de rescate diferente llamada ReadMe.txt que usa texto ligeramente diferente.
Como sabemos, el ransomware tiene como objetivo cifrar los sistemas y dispositivos y pedir a cambio un rescate económico. En este caso lo que solicitan es un rescate en bitcoins valorado en 10.000 dólares.
Cómo evitar ser víctimas de este problema
Es muy importante que estemos protegidos y evitemos ser víctimas de este tipo de problema. En el caso de las vulnerabilidades relacionadas con ProxyLogon, que dan lugar a amenazas como Black Kingdom, es fundamental tener los equipos y sistemas actualizados. Contar con los últimos parches va a ayudar a reducir el riesgo en la red, más allá de también mejorar el rendimiento.
Pero además de tener los equipos actualizados, también es buena idea contar con programas de seguridad. Un buen antivirus puede evitar la entrada de malware que comprometa los sistemas. Es algo que debemos aplicar sin importar el tipo de sistema operativo que estamos utilizando.
Por otra parte, aunque quizás lo más importante de todo, debemos mantener siempre el sentido común. Evitar errores al descargar archivos o usar los dispositivos puede ayudar a reducir el riesgo. Es muy importante este punto.