Awal tahun ini server Microsoft Exchange (terbuka di tab baru) menjadi sasaran penjahat dunia maya yang menggunakan kerentanan yang diketahui untuk menginfeksi mereka dengan ransomware Black Kingdom (terbuka di tab baru).
Sekarang perusahaan keamanan siber Kaspersky (terbuka di tab baru) telah merilis laporan baru yang memberikan wawasan lebih lanjut tentang bagaimana jenis ransomware ini bekerja bersama dengan detail baru tentang penjahat dunia maya di baliknya.
Meskipun ransomware Black Kingdom pertama kali muncul pada tahun 2019, ransomware ini dikenal luas pada bulan Maret tahun ini ketika digunakan dalam kampanye yang mengeksploitasi ProxyLogon. (terbuka di tab baru) kerentanan, dilacak sebagai CVE-2021-27065, di Microsoft Exchange.
Namun, berdasarkan analisis Kaspersky terhadap ransomware tersebut (terbuka di tab baru)ini adalah implementasi amatir dengan beberapa kesalahan dan kelemahan enkripsi kritis yang memungkinkan siapa pun untuk mendekripsi file yang terpengaruh menggunakan kunci hardcoded.
Ransomware Kerajaan Hitam
Meskipun tujuan akhir dari jenis ransomware apa pun adalah untuk mengenkripsi file sistem, pembuat jenis ransomware Black Kingdom, yang dikodekan dengan Python (terbuka di tab baru)memutuskan untuk menentukan folder tertentu yang akan dikecualikan dari enkripsi.
Ransomware menghindari mengenkripsi file Windows, ProgramData, Program Files, Program Filex (x86), AppData/Roaming, AppData/LocalLow dan AppData/Local pada sistem yang ditargetkan untuk menghindari kerusakan selama enkripsi. Namun, cara penulisan kode yang mengimplementasikan fungsi ini merupakan tanda yang jelas bagi Kaspersky bahwa pembuatnya mungkin amatir.
Pengembang Ransowmare sering membuat kesalahan yang memungkinkan file didekripsi dengan mudah atau terkadang tidak sama sekali. Ransomware Black Kingdom misalnya mencoba mengunggah kunci enkripsinya ke penyimpanan cloud (terbuka di tab baru) layanan Mega (terbuka di tab baru) tetapi jika ini gagal, kunci hardcode digunakan untuk mengenkripsi file sebagai gantinya. Jika file sistem telah dienkripsi dan tidak dapat membuat koneksi ke Mega, file yang dienkripsi ini dapat dipulihkan menggunakan kunci hardcoded.
Kesalahan lain yang dibuat oleh pencipta Black Kingdom dan diamati oleh para peneliti Kaspersky adalah fakta bahwa semua catatan ransomware mereka mengandung beberapa kesalahan serta Bitcoin yang sama. (terbuka di tab baru) alamat. Keluarga ransomware lainnya memberikan alamat unik untuk setiap korban yang membuatnya lebih sulit untuk menentukan siapa yang membuat malware (terbuka di tab baru) mereka gunakan di tempat pertama.
Ransomware Kerajaan Hitam tidak digunakan oleh penjahat dunia maya saat ini untuk meluncurkan serangan, tetapi organisasi harus siap ketika muncul kembali. Untuk alasan ini, organisasi yang rentan harus melihat lebih dekat pada laporan Kapsersky dan jika belum melakukannya, tambal server Microsoft Exchange mereka menggunakan alat sekali klik perusahaan. (terbuka di tab baru) untuk melakukannya.
