Epsilon Red Ransomware
एक नया हमला अभियान एप्सिलॉन रेड नामक रैंसमवेयर खतरे को तैनात करने के लिए माइक्रोसॉफ्ट एक्सचेंज सर्वर में कमजोरियों का लाभ उठा रहा है। एप्सिलॉन रेड रैनसमवेयर की खोज शोधकर्ताओं ने एक अमेरिकी हॉस्पिटैलिटी कंपनी के खिलाफ हमले की जांच के दौरान की थी। ऐसा माना जाता है कि हैकर्स नेटवर्क पर मशीनों तक पहुंचने के लिए कमजोरियों के ProxyLogon सेट पर भरोसा करते हैं। कारनामों के इस विशेष सेट को एक महीने से भी कम समय में दिखाए जाने वाले अनुमानों के साथ बेहद गंभीर माना गया था, लगभग 92% कमजोर ऑन-प्रिमाइसेस Microsoft एक्सचेंज सर्वरों को इस मुद्दे को संबोधित करने वाले सुरक्षा अद्यतन के साथ पैच किया गया था। हालाँकि, जैसा कि एप्सिलॉन रेड रैनसमवेयर अभियान से पता चलता है, हैकर्स अभी भी शोषण के लिए असुरक्षित लक्ष्य खोज रहे हैं।
हमले के लक्षण
एप्सिलॉन रेड को भंग किए गए सिस्टम में पहुंचाने से पहले और एन्क्रिप्शन रूटीन लगे होने से पहले, धमकी देने वाले अभिनेता पर्याप्त संख्या में स्क्रिप्ट देते हैं, प्रत्येक एक अलग कार्य करता है। इन कार्यों में शैडो वॉल्यूम कॉपी को हटाना, सुरक्षा उत्पादों, डेटाबेस, बैकअप प्रोग्राम आदि से जुड़ी विभिन्न प्रक्रियाओं और सेवाओं को मारना, विंडोज इवेंट लॉग्स को हटाना, विंडोज डिफेंडर को अक्षम करना, कुछ सुरक्षा उपकरणों को पूरी तरह से अनइंस्टॉल करना, एसएएम (सुरक्षा खाता प्रबंधक) की चोरी करना शामिल है। ) फ़ाइल जिसमें पासवर्ड हैश और बहुत कुछ है। छोड़ी गई लिपियों में से एक कॉपी-वीएसएस नामक पैठ परीक्षण उपकरण की एक प्रति प्रतीत होती है।
हैकर्स रिमोट यूटिलिटीज नामक एक वाणिज्यिक रिमोट एक्सेस प्रोग्राम की एक प्रति के साथ-साथ समझौता किए गए सिस्टम पर टोर ब्राउज़र भी तैनात करते हैं। हैकर्स इन्हें बैकअप एक्सेस प्वाइंट के रूप में इस्तेमाल करने की योजना बना रहे हैं।
एप्सिलॉन रेड रैनसमवेयर अंधाधुंध तरीके से एन्क्रिप्ट करता है
एप्सिलॉन रेड रैंसमवेयर गोलंग (गो) भाषा में लिखा गया है और ऐसा लगता है कि इसमें आमतौर पर पेशेवर मैलवेयर कोडर्स के काम में पाई जाने वाली पॉलिश की कमी है। इसके अलावा, एप्सिलॉन रेड किसी भी फाइल को एन्क्रिप्ट करेगा, भले ही वे आवश्यक निष्पादन योग्य और डीएलएल हों जो छेड़छाड़ करने पर सिस्टम क्रैश का कारण बन सकते हैं। प्रत्येक एन्क्रिप्टेड फ़ाइल में एक नए एक्सटेंशन के रूप में अपने मूल नाम के साथ '.epsilonred' संलग्न होगा। फिर खतरा अपने फिरौती नोट को लॉक किए गए डेटा वाले प्रत्येक फ़ोल्डर में बनाए गए निर्देशों की एक प्रति के साथ वितरित करेगा।
यह ध्यान दिया जाना चाहिए कि एप्सिलॉन रेड आरईविल रैनसमवेयर खतरे द्वारा छोड़े गए फिरौती नोट के एक रूपांतर का उपयोग करता है। मुख्य अंतर यह है कि एप्सिलॉन रेड के हैकर्स ने मूल नोट में पाई गई कुछ व्याकरण और वर्तनी की गलतियों को साफ करने के लिए समय निकाला है।
अपेक्षाकृत कम समय के लिए सक्रिय होने के बावजूद, एप्सिलॉन रेड हैकर्स ने पहले ही कई अलग-अलग लक्ष्यों के खिलाफ हमले के अभियान शुरू कर दिए हैं और हो सकता है कि पहले से ही 4.28 बीटीसी (बिटकॉइन) की फिरौती एकत्र कर ली हो, जो उस समय लगभग 210,000 डॉलर थी।
