Epsilon Red Ransomware

Nowa kampania ataku wykorzystuje luki w zabezpieczeniach serwerów Microsoft Exchange, aby wdrożyć zagrożenie ransomware o nazwie Epsilon Red. Epsilon Red Ransomware zostało odkryte przez badaczy podczas badania ataku na amerykańską firmę hotelarską. Uważa się, że hakerzy wykorzystują zestaw luk w zabezpieczeniach ProxyLogon, aby dotrzeć do maszyn w sieci. Ten konkretny zestaw exploitów został uznany za wyjątkowo poważny, a szacunki pokazały, że w ciągu mniej niż miesiąca prawie 92% podatnych na ataki lokalnych serwerów Microsoft Exchange zostało załatanych aktualizacją zabezpieczeń rozwiązującą ten problem. Jednak, jak pokazuje kampania Epsilon Red Ransomware, hakerzy wciąż znajdują niezabezpieczone cele do wykorzystania.

Charakterystyka ataku

Zanim Epsilon Red zostanie dostarczony do systemu, w którym doszło do naruszenia, i uruchomiona zostanie procedura szyfrowania, aktorzy zagrożenia dostarczają znaczną liczbę skryptów, z których każdy wykonuje inne zadanie. Wśród tych zadań jest usuwanie kopii woluminów w tle, zabijanie różnych procesów i usług związanych z produktami zabezpieczającymi, bazami danych, programami do tworzenia kopii zapasowych itp., Usuwanie dzienników zdarzeń systemu Windows, wyłączanie usługi Windows Defender, jawne odinstalowywanie niektórych narzędzi zabezpieczających, kradzież SAM (Security Account Manager ), który zawiera skróty haseł i nie tylko. Jeden z usuniętych skryptów wydaje się być kopią narzędzia do testów penetracyjnych o nazwie Copy-VSS.

Hakerzy wdrażają również kopię komercyjnego programu zdalnego dostępu o nazwie Remote Utilities, a także przeglądarkę Tor w zaatakowanych systemach. Hakerzy najprawdopodobniej planują wykorzystać je jako zapasowy punkt dostępu.

Epsilon Red Ransomware szyfruje bezkrytycznie

Epsilon Red Ransomware jest napisane w języku Golang (Go) i wydaje się, że brakuje mu języka polskiego, który zwykle można znaleźć w pracy profesjonalnych programistów złośliwego oprogramowania. Ponadto Epsilon Red zaszyfruje wszystkie znalezione pliki, nawet jeśli są to niezbędne pliki wykonywalne i biblioteki DLL, które mogą powodować awarie systemu, jeśli zostaną naruszone. Każdy zaszyfrowany plik będzie miał „.epsilonred" dołączony do oryginalnej nazwy jako nowe rozszerzenie. Zagrożenie dostarczy następnie żądanie okupu wraz z kopią instrukcji utworzonych w każdym folderze zawierającym zablokowane dane.

Należy zauważyć, że Epsilon Red używa odmiany noty okupu upuszczonej przez zagrożenie REvil Ransomware. Główna różnica polega na tym, że hakerzy stojący za Epsilon Red poświęcili trochę czasu, aby usunąć niektóre błędy gramatyczne i ortograficzne znalezione w oryginalnej notatce.

Pomimo tego, że byli aktywni przez stosunkowo krótki czas, hakerzy Epsilon Red już rozpoczęli kampanie ataków na kilka różnych celów i mogli już zebrać okup w wysokości 4,28 BTC (Bitcoin), który w tamtym czasie wynosił około 210 000 $.