Epsilon Red Ransomware

En ny angrebskampagne udnytter sårbarheder i Microsoft Exchange-servere til at implementere en trussel mod ransomware ved navn Epsilon Red. Epsilon Red Ransomware blev opdaget af forskere, mens de undersøgte et angreb mod et amerikansk hotelfirma. Det menes, at hackerne er afhængige af ProxyLogon-sættets sårbarheder for at nå maskiner på netværket. Dette særlige sæt udnyttelser blev anset for at være ekstremt alvorligt med estimater, der viser på mindre end en måned, at næsten 92% af de sårbare lokale Microsoft Exchange-servere blev patchet med sikkerhedsopdateringen, der løste problemet. Men som Epsilon Red Ransomware-kampagnen viser, finder hackere stadig usikrede mål at udnytte.

Angrebskarakteristika

Før Epsilon Red leveres til det brudte system, og krypteringsrutinen er engageret, leverer trusselsaktørerne et betydeligt antal scripts, der hver udfører en anden opgave. Blandt disse opgaver er at slette Shadow Volume Copies, dræbe forskellige processer og tjenester forbundet med sikkerhedsprodukter, databaser, sikkerhedskopieringsprogrammer osv., Slette Windows Event Logs, deaktivere Windows Defender, direkte afinstallere visse sikkerhedsværktøjer, stjæle SAM (Security Account Manager) ) -fil, der indeholder hash-kodeord og mere. Et af de faldne scripts ser ud til at være en kopi af et penetrationsprøvningsværktøj ved navn Copy-VSS.

Hackerne distribuerer også en kopi af et kommercielt fjernadgangsprogram ved navn Remote Utilities samt Tor-browseren på de kompromitterede systemer. Hackerne planlægger mere end sandsynligt at bruge disse som et backup-adgangspunkt.

Epsilon Red Ransomware krypterer uden forskel

Epsilon Red Ransomware er skrevet på Golang (Go) -sprog og synes at mangle det polsk, der normalt findes i arbejdet med professionelle malware-kodere. Desuden krypterer Epsilon Red alle filer, den finder, selvom de er vigtige eksekverbare filer og DLL'er, der kan forårsage systemnedbrud, hvis der er manipuleret med dem. Hver krypterede fil vil have '.epsilonred' knyttet til sit oprindelige navn som en ny udvidelse. Truslen vil derefter levere sin løsesumnote med en kopi af instruktionerne oprettet i hver mappe, der indeholder låste data.

Det skal bemærkes, at Epsilon Red bruger en variation af løsesumnoten, der er droppet af REvil Ransomware- truslen. Den største forskel er, at hackerne bag Epsilon Red har taget sig tid til at rydde op i nogle af de grammatiske og stavefejl, der findes i den originale note.

På trods af at de var aktive i relativt kort tid, har Epsilon Red-hackerne allerede lanceret angrebskampagner mod flere forskellige mål og har muligvis allerede samlet en løsesum på 4,28 BTC (Bitcoin), der var omkring $ 210.000 på det tidspunkt.