Вымогательское ПО Black Kingdom атакует предприятия через Pulse Secure VPN

Операторы вымогательского ПО Black Kingdom атакуют предприятия, использующие уязвимые установки ПО Pulse Secure VPN. Вредонос попался в один из ханипотов польской ИБ-компании REDTEAM.PL, благодаря чему исследователи смогли изучить его и описать.

Злоумышленники эксплуатируют критическую уязвимость CVE-2019-11510 в Pulse Secure VPN, исправленную в апреле прошлого года. Несмотря на множественные уведомления безопасности от правительственных организаций и задокументированные случаи ее эксплуатации в реальных атаках, многие предприятия так и не обновили свои установки Pulse Secure VPN.

Как выяснили исследователи, Black Kingdom сохраняет персистентность на системе, создавая поддельную задачу Google Chrome, отличающуюся от легитимной всего лишь одной буквой (GoogleUpdateTaskMachineUSA – задача, создаваемая Black Kingdom, GoogleUpdateTaskMachineUA – легитимная задача Google Chrome).С более подробным анализом вредоноса можно ознакомиться здесь .

Black Kingdom был впервые обнаружен в феврале 2020 года. Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс. в биткойнах за их расшифровку. Если жертва откажется платить, злоумышленники угрожают уничтожить или продать зашифрованные файлы.

На момент написания новости баланс биткойн-кошелька, указанного в записке с требованием выкупа, составлял только 0,55 BTC (около $5,2 тыс.).