Ransomware Black Kingdom apparait sur les serveurs Microsoft exchange
Guide Cyber-Sécurité

Le Ransomware Black Kingdom apparait sur les serveurs Microsoft Exchange

17 / 05 / 2021

Qu’il soit récent ou bien connu, un Ransomware demeure un danger - malgré tout - imminent pour les logiciels de groupe de travail. Il peut attaquer l’exploit ProxyLogon de ces logiciels, contourner leur sécurité d’authentification et voler leurs données à souhait.

Après les dernières attaques du ransomware DearCry, les pirates informatiques ont mis en place un autre programme malveillant de la même famille : le Ransomware black kingdom.
Mais avant de rentrer dans le vif du sujet, nous ferons une rétrospective pour découvrir l’origine des ransomwares avant de faire un zoom sur les ransomwares black kingdom.

 

Cet éclairage vous permettra de mieux les comprendre et de savoir, in fine, comment les éviter.

Historique des ransomwares 

Les Ransomwares, comme on pourrait l’imaginer, ne datent pas au 21e siècle, ils ont été créés bien avant. En effet, les tous premiers cas de Ransomwares ont été détectés en 1989 et, par la suite, ils se sont répandus à partir de la Russie en 2005. Ces logiciels malveillants tirent leur force du chantage, car « Ransom » signifie en français : « Rançon ». Les concepteurs de ces programmes accèdent aux fichiers personnels de leur victime et se permettent de réclamer une rançon.

Les Ransomwares, comme tous les virus du même genre, sont classés en deux grands groupes, se distinguant par leur spécificité et la pertinence d’intervention : les Ransomwares Locker et les Ransomwares Crypto.
Le premier groupe est composé de virus s’attaquant directement aux fonctionnalités de base de l’ordinateur. Quant au deuxième groupe, ils ciblent directement les données personnelles des usagers.
Cependant, ces deux grands groupes englobent de nombreux autres virus, tels que : Citons, Locky, Wannacry, Bad Rabbit….

Qu'est-ce-que le Ransomware Black Kingtom ?

Les pirates informatiques se servent de nombreux fichiers malveillants pour attaquer les données des tiers et ensuite leur réclamer une rançon afin que leurs données soient déchiffrées. Le Ransomware black kingdom est donc l’une de leur dernière trouvaille découverte le 18 mars dernier lors de la correction de certains fichiers notamment le Proxylogon, signalé par Microsoft.


Le Black Kingdom a été distribué depuis un webshell, via un nœud Tor. En effet, ce webshell a utilisé un serveur d’une adresse géolocalisée en Allemagne 185.220.101.104, tandis que le véritable attaquant opérait sous le 185.220.101.216. Les deux adresses IP appartenant au même nœud Tor, le décryptage de la source exacte du Black Kingdom n’a pu se faire.
A travers cette opération, le cybercriminel s’est servi des deux versions locales de Microsoft Server pour s'attaquer, à distance, à la vulnérabilité du code de Microsoft Proxylogon [CVE-2021-27065]. Le webshell utilisé leur a permis entre autres d’accéder au serveur et d’exécuter les commandes arbitraires, laissant libre cours au Ransomware Black kingdom.

 

Il s’agit du webshell ChackLogsPLaspx, se dissimulant aussi sous les noms : ckPassPL.aspx et hackldlO.aspx :

black kingdom-article blog

Notons d'ailleurs que ce webshell a été écrit par w3wp.exe sur le disque dur. Pour rappel, le w3wp.exe fait partie des hébergeurs de ECP (Exchange Control Panel), encore connu sous le nom EAC (Exchange Admin Center).

black kingdom-article blog-1

Comment ce ransomware s'attaque-t-il aux fichiers ?

De manière générale, les pirates informatiques envoient à leur victime un lien contenant ce programme malveillant qu’ils demandent de télécharger par mail. Ce lien peut être un message signalant la présence d’applications sans licence. Dans ce cas, ils font croire à leurs victimes qu’il y a la présence d’un lien sans licence contenant un virus très dangereux. Par la suite, les cybercriminels demandent à ces derniers d’effectuer un paiement afin d’être débarrassés de ce virus.


De plus, ce programme peut être également sous forme de lien signalant la présence de fichiers indésirables ou de contenus malveillants, tels que les vidéos malsaines. Dans ce cas, ces cybercriminels se font passer pour des autorités policières et demandent le règlement d’une amende sous peine de pénalité.

Comme vous pouvez le constater et dans de nombreux cas, les Ransomwares sont envoyés sous forme de lien pendant les téléchargements effectués sur des sites peu sécurisés.

Exécution des ransomwares black kingtom

Lorsqu’ils lancent le webshell, les hackers procèdent à l’émission d’une commande PowerShell. C’est de cette commande qu’ils se servent, par la suite, pour lancer l’assaut.
Cette commande PowerShell peut décoder plusieurs scripts et avoir accès à plusieurs bases de données. Dès que les Ransomwares ont accès aux bases de données, ils reproduisent les adresses.

 

  • Exemple d’un script de téléchargement d’un ransomware :
    hxxp //yuuuuu44[.]com/vpn-service/$(f1)crunchyroll-vpn
    Le $(f1) est généré par la fonction (f1) qui réalise une chaîne de 15 caractères à partir des lettres de l’alphabet.

    Partant de ce script, l’adresse exacte ayant été piratée va ressembler à ce qui suit :
    hxxp //yuuuuu44[.]com/vpn-service/ojkgrctxslnbazd /crunchyroll-vpn
    Et pour procéder à leur manipulation, ces pirates pourront stocker la charge virale du Ransomware dans un dossier avec un nom de fichier banal créé pour les circonstances.

  • L'impact des ransomwares black kingtom :
    Le binaire du ransomware est basé sur un script python issu d’un outil appelé PyInstaller.
    L’attaquant a nommé le code oxfff.py , avec fff représentant la valeur du code 4095.

    Ce programme malveillant contient donc une liste innombrable de blocages de dossiers intégrés, dont le contenu ne sera pas décrit. Et lorsque le ransomware est en cours, il bloque les services d’exécution et empêche ainsi l’accès aux bases de données par SQL pour les crypter.

    Ensuite, le chiffrement est généré par un code qui permettra au script de créer, à son tour, un code de 64 caractères. Quand cette chaîne est générée, le script procède à un découpage avec MD5.
    Lors du découpage, le script génère un identifiant à la victime que le ransomware va utiliser pour la demande de rançon. Cet identifiant permettra également aux différents usagers de s’identifier auprès du pirate pour l’achat d’une clé de déchiffrage. Lorsque l’opération a été effectuée la clé est uploadée via mega.io.

    Il peut arriver que les fichiers soient chiffrés doublement. Dans ce cas, le ransomware ajoute chaque fois la même extension. Et lorsque les fichiers sont chiffrés plusieurs fois de suite, le déchiffrement est rendu plus complexe. Sachez en plus que le Ransomware black Kingdom est capable de supprimer tous les logs d'événements Windows.

Nos conseils pour détecter ces ransomwares 

Depuis l‘avènement de ces virus, il est très important de prendre toutes les précautions nécessaires afin d’éviter le pire. Ces précautions consisteront à faire preuve de vigilance et d’attention et surtout d’éviter de cliquer sur n’importe quel lien.

  1. Tout d’abord, vous devez vous assurer que votre ordinateur n’est pas vulnérable vis-à-vis de ces liens malveillants.

  2. Ensuite, vous devez procéder à une sauvegarde et la sécurisation de toutes vos données, afin d’éviter l’accès aux Ransomwares black kingdom.

  3. Enfin, vous devez impérativement installer un logiciel de protection. En effet, vous pouvez faire preuve de beaucoup de précautions et quand même tomber entre les mains de ces cybercriminels. Le moyen le plus sûr de se mettre à l’abri de tous regards indiscrets est bien entendu d’installer un bon logiciel de protection.

C’est ce logiciel qui vous permettra de filtrer tous les liens auxquels vous avez accès et qui vous signalera la présence d’une source malveillante. L’évolution de la science a affecté de nombreux domaines et le domaine informatique n’est pas resté en marge. Ainsi, il existe à ce jour de nombreux logiciels de protection contre les ransomwares.

Parmi ces logiciels nous pouvons citer : les antivirus, les logiciels de protection, les logiciels de détection…

Chaque logiciel a son rôle à jouer en fonction de l’attente et de la demande du client. Cependant pour avoir un logiciel correspondant à vos besoins, il est recommandé de prendre conseil auprès d’un professionnel.

 

Pour être efficace, un logiciel de protection doit respecter certains critères, il doit être : 

  • facile à utiliser pour l’usager et très pratique, car un antivirus qui n’est pas pratique ne vous sera pas d’une grande utilité. Vous devez donc avoir une maîtrise parfaite de votre logiciel.
  • fiable et surtout compatible avec les logiciels existants déjà sur votre ordinateur. Si tel n’est pas le cas, il est sûr que vous serez exposés aux attaques des ransomwares, notamment au black kingdom.
  • efficace avec une protection totale, c’est-à-dire, il doit protéger, garder, prévenir en cas d’attaques. Il doit avoir une fonction complète. Votre choix doit donc porter sur un logiciel de qualité supérieure.

Votre logiciel doit effectuer régulièrement des mises à jour, détecter de manière très précise les programmes malveillants, et faire le nettoyage de façon régulière.

Les résolutions à prendre par chaque usager face à la cybercriminalité

Chaque usager doit faire preuve de beaucoup de précaution lors de l’utilisation de l’outil informatique. Par exemple, si vous avez pour habitude de faire des téléchargements, sans avoir conscience des risques que vous encourez, vous devez faire preuve de plus attention.
Nous vous invitons à ne pas cliquer sur un lien, si vous n’êtes pas sûr de son authenticité. Mieux vaut prévenir que guérir. 


Et lors de vos téléchargements, comme nous l’avons indiqué plus haut, ne téléchargez pas vous-même un soi- disant antivirus, faites appel à un professionnel. Seul un expert dans la cybersécurité est capable de vous orienter de manière convenable. N’oubliez pas que les ransomwares black kingdom reproduisent aussi les différentes versions des antivirus d’un niveau de sécurité minimal.

 

Avec les nombreux ransomwares qui ont vu le jour, usez de beaucoup de précautions pour ne pas faire partie des prochaines victimes de ces hackeurs. Soyez de ceux qui, au contraire, déjouent les plans de ces cybercriminels.

 

Nous espérons vous avoir apporté, à travers cet article, les informations nécessaires pour vous mettre à l’abri de toute attaque de Ransomware black kingdom et nous vous invitons à consulter en ligne notre guide ultime sur la cyber-sécurité en entreprise.

 

État des lieux sur la cyber-attaque  Recevez notre Ebook de prévention aux cyber-attaques. Télécharger l'Ebook
Sarah GALODÉ

Article rédigé par Sarah GALODÉ

" Se réunir est un début, rester ensemble est un progrès, travailler ensemble est la réussite ! " - Henry Ford