Epsilon Red Ransomware

Una nuova campagna di attacco sta sfruttando le vulnerabilità nei server Microsoft Exchange per distribuire una minaccia ransomware denominata Epsilon Red. Epsilon Red Ransomware è stato scoperto dai ricercatori durante le indagini su un attacco contro una società di ospitalità statunitense. Si ritiene che gli hacker facciano affidamento sul set di vulnerabilità ProxyLogon per raggiungere le macchine sulla rete. Questo particolare insieme di exploit è stato ritenuto estremamente grave, con stime che mostrano che in meno di un mese quasi il 92% dei server Microsoft Exchange locali vulnerabili è stato riparato con l'aggiornamento per la protezione che risolve il problema. Tuttavia, come mostra la campagna Epsilon Red Ransomware, gli hacker stanno ancora trovando obiettivi non protetti da sfruttare.

Caratteristiche di attacco

Prima che Epsilon Red venga consegnato al sistema violato e che la routine di crittografia venga avviata, gli attori della minaccia forniscono un numero considerevole di script, ciascuno eseguendo un'attività diversa. Tra queste attività vi sono l'eliminazione delle copie shadow del volume, l'uccisione di vari processi e servizi associati a prodotti di sicurezza, database, programmi di backup, ecc., Eliminazione dei registri eventi di Windows, disabilitazione di Windows Defender, disinstallazione definitiva di alcuni strumenti di sicurezza, furto del SAM (Security Account Manager ) file che contiene hash delle password e altro. Uno degli script rilasciati sembra essere una copia di uno strumento di test di penetrazione denominato Copy-VSS.

Gli hacker distribuiscono anche una copia di un programma di accesso remoto commerciale chiamato Remote Utilities, così come il browser Tor sui sistemi compromessi. Molto probabilmente gli hacker intendono utilizzarli come punto di accesso di backup.

Epsilon Red Ransomware esegue la crittografia indiscriminatamente

Epsilon Red Ransomware è scritto nella lingua Golang (Go) e sembra mancare dello smalto che di solito si trova nel lavoro dei programmatori di malware professionisti. Inoltre, Epsilon Red crittograferà tutti i file che trova anche se sono eseguibili essenziali e DLL che potrebbero causare arresti anomali del sistema se manomessi. Ogni file crittografato avrà ".epsilonred" associato al nome originale come nuova estensione. La minaccia consegnerà quindi la sua richiesta di riscatto con una copia delle istruzioni create in ciascuna cartella contenente dati bloccati.

Va notato che Epsilon Red utilizza una variazione della richiesta di riscatto rilasciata dalla minaccia REvil Ransomware. La differenza principale è che gli hacker dietro Epsilon Red si sono presi il tempo per ripulire alcuni degli errori di grammatica e ortografia trovati nella nota originale.

Nonostante siano stati attivi per un periodo di tempo relativamente breve, gli hacker di Epsilon Red hanno già lanciato campagne di attacco contro diversi bersagli diversi e potrebbero aver già raccolto un riscatto di 4,28 BTC (Bitcoin) che all'epoca era di circa $ 210.000.