В начале марта в почтовых серверах Microsoft Exchange была обнаружена уязвимость ProxyLogon, позволяющая выполнить произвольный код, и теперь с ее помощью хакеры распространяют вирус-шифровальщик Black Kingdom.

Специалист по компьютерной безопасности Маркус Хатчинс (Marcus Hutchins) обнаружил, что злоумышленники, получившие доступ к серверам через уязвимость ProxyLogon, с помощью скрипта на Powershell скачивают исполняемые файлы шифровальщика и распространяют их на другие компьютеры в сети. При этом во время тестов у Хатчинса шифрование не происходило — просто создавались файлы с требованием выкупа.

Возможно, Хатчинсу попалась первая версия вируса, так как, по данным с сайта ID Ransomware, первые заражения вирусом Black Kingdom начались 18 марта и на текущий момент их количество превышает 30. Жертвами вируса оказались компании из самых разных стран, включая Россию, США, Францию, Израиль и Германию.

После заражения компьютера вирус шифрует файлы и переименовывает их в случайном порядке. Судя по всему, злоумышленники используют один и тот же адрес для получения выкупа. Впрочем, и сумма выкупа одинакова — $10 000 в биткоинах. На текущий момент, хакеры получили всего один платеж.

Летом 2020 года уже происходили случаи заражения вирусом под названием Black Kingdom, хотя пока неизвестно, идентичен ли этот вирус новому. Впрочем, оба вируса написаны на языке программирования Python.

Ранее уязвимостью ProxyLogon хакеры воспользовались для распространения вируса DearCry, однако случаев заражения было крайне немного. Также стало известно, что хакерская группировка REvil запросила $50 млн в биткоинах у производителя компьютерного оборудования Acer. Вероятно, хакеры проникли в сеть Acer в результате использования уязвимости ProxyLogon.