به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیت سایبری «REDTEAM.PL» لهستان در گزارشی از حملات سایبری جدید بدافزار بلککینگدام (Black Kingdom) خبر دادند.
به گفته کارشناسان این شرکت، اپراتورهای این بدافزار شرکتهایی را که از بستههای آسیبپذیر نرمافزار Pulse Secure VPN استفاده میکنند، هدف قرار میدهند. بلک کینگدام بهتازگی در هانیپات شرکت لهستانی مذکور به دام افتاده و کارشناسان توانستهاند آن را موردبررسی قرار دهند.
اپراتورهای بلک کینگدام از آسیبپذیری «CVE-2019-11510» در VPN شرکت Pulse Secure که در آوریل سال گذشته برطرف شده است، بهره میگیرند.
علیرغم اطلاعرسانیهای امنیتی سازمانهای دولتی و بهرهگیری مهاجمان از این آسیبپذیری در حملات واقعی، بسیاری از شرکتها همچنان از نسخههای آسیبپذیر این نرمافزار استفاده کرده و آن را بهروزرسانی نکردهاند.
طبق گفته محققان، بلککینگدام با ایجاد وظیفه جعلی گوگل کروم که تنها در یک حرف با وظیفه قانونی کروم متفاوت است، ماندگاری خود را در سیستم حفظ میکند. وظیفه قانونی کروم «GoogleUpdateTaskMachineUA» است که توسط بلککینگدام به «GoogleUpdateTaskMachineUSA» تغییر میکند.
این باج افزار در حملات جدید خود فایلهای قربانی را رمزگذاری کرده و پسوند .DEMON را به آنها اضافه میکند و 10 هزار دلار باج طلب میکند.
بلککینگدام برای نخستین بار در فوریه سال 2020 شناسایی شد. این باج افزار 10 هزار دلار در قالب بیت کوین بابت رمزگشایی فایلهای رمزگذاری شده طلب میکند. چنانچه قربانی از پرداخت باج خودداری کند، مهاجمان اقدام به از بین بردن و یا فروش اطلاعات میکنند.
