Epsilon Red Ransomware

Een nieuwe aanvalscampagne maakt gebruik van kwetsbaarheden in Microsoft Exchange-servers om een ransomwarebedreiging genaamd Epsilon Red in te zetten. De Epsilon Red Ransomware werd ontdekt door onderzoekers tijdens een onderzoek naar een aanval op een Amerikaans horecabedrijf. Aangenomen wordt dat de hackers vertrouwen op de ProxyLogon-reeks kwetsbaarheden om machines op het netwerk te bereiken. Deze specifieke reeks misbruiken werd als extreem ernstig beschouwd, met schattingen die aantonen dat in minder dan een maand bijna 92% van de kwetsbare lokale Microsoft Exchange-servers een patch had gekregen met de beveiligingsupdate die het probleem verhelpt. Zoals de Epsilon Red Ransomware-campagne echter laat zien, vinden hackers nog steeds onbeveiligde doelen om te misbruiken.

Aanvalkenmerken

Voordat de Epsilon Red wordt afgeleverd op het systeem waarin wordt geschonden en de versleutelingsroutine wordt geactiveerd, leveren de bedreigingsactoren een aanzienlijk aantal scripts af, die elk een andere taak uitvoeren. Tot deze taken behoren het verwijderen van de schaduwvolumekopieën, het doden van verschillende processen en services die verband houden met beveiligingsproducten, databases, back-upprogramma's, enz., Het verwijderen van Windows-gebeurtenislogboeken, het uitschakelen van Windows Defender, het ronduit verwijderen van bepaalde beveiligingshulpmiddelen, het stelen van de SAM (Security Account Manager ) bestand dat wachtwoord-hashes en meer bevat. Een van de verwijderde scripts lijkt een kopie te zijn van een penetratietesttool genaamd Copy-VSS.

De hackers gebruiken ook een kopie van een commercieel programma voor externe toegang genaamd Remote Utilities, evenals de Tor-browser op de gecompromitteerde systemen. De hackers zijn hoogstwaarschijnlijk van plan om deze te gebruiken als een back-uptoegangspunt.

De Epsilon Red Ransomware versleutelt zonder onderscheid

De Epsilon Red Ransomware is geschreven in de Golang (Go) -taal en lijkt niet de glans te missen die gewoonlijk wordt aangetroffen in het werk van professionele malwarecoders. Bovendien versleutelt de Epsilon Red alle bestanden die het vindt, zelfs als het essentiële uitvoerbare bestanden en DLL's zijn die systeemcrashes kunnen veroorzaken als ermee wordt geknoeid. Bij elk versleuteld bestand wordt '.epsilonred' als nieuwe extensie aan de oorspronkelijke naam toegevoegd. De dreiging zal dan zijn losgeldnota bezorgen met een kopie van de instructies die in elke map met vergrendelde gegevens zijn aangemaakt.

Opgemerkt moet worden dat Epsilon Red een variatie gebruikt op het losgeldbriefje dat is achtergelaten door de REvil Ransomware- dreiging. Het belangrijkste verschil is dat de hackers achter Epsilon Red de tijd hebben genomen om enkele grammatica- en spelfouten in de oorspronkelijke notitie op te schonen.

Ondanks dat ze relatief kort actief zijn, hebben de hackers van Epsilon Red al aanvalscampagnes gelanceerd tegen verschillende doelen en hebben ze mogelijk al een losgeld van 4,28 BTC (Bitcoin) verzameld, wat op dat moment ongeveer $ 210.000 bedroeg.