Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語
Threat Database Ransomware Epsilon Red Ransomware

Epsilon Red Ransomware

Por Mezo em Ransomware
Traduzir Para:
Português

Uma nova campanha de ataque está aproveitando vulnerabilidades nos servidores Microsoft Exchange para implantar uma ameaça de ransomware chamada Epsilon Red. O Epsilon Red Ransomware foi descoberto pelos pesquisadores enquanto investigavam um ataque contra uma empresa de hospitalidade dos Estados Unidos. Acredita-se que os hackers contem com o conjunto de vulnerabilidades ProxyLogon para alcançar as máquinas da rede. Esse conjunto específico de explorações foi considerado extremamente grave, com estimativas mostrando que em menos de um mês quase 92% dos servidores Microsoft Exchange locais vulneráveis foram corrigidos com a atualização de segurança que aborda o problema. No entanto, como mostra a campanha Epsilon Red Ransomware, os hackers ainda estão encontrando alvos não seguros para explorar.

Características do Ataque

Antes que o Epsilon Red seja entregue ao sistema violado e a rotina de criptografia seja ativada, os atores da ameaça entregam um número substancial de scripts, cada um executando uma tarefa diferente. Entre essas tarefas estão a exclusão das Cópias do Shadow Volume, matando vários processos e serviços associados a produtos de segurança, bancos de dados, programas de backup, etc., exclusão de Logs de eventos do Windows, desativação do Windows Defender, desinstalação total de certas ferramentas de segurança, roubo do SAM (Security Account Manager ) arquivo que contém hashes de senha e muito mais. Um dos scripts eliminados parece ser uma cópia de uma ferramenta de teste de penetração chamada Copy-VSS.

Os hackers também implantam uma cópia de um programa comercial de acesso remoto denominado Remote Utilities, bem como o navegador Tor nos sistemas comprometidos. Os hackers provavelmente planejam usá-los como um ponto de acesso de backup.

O Epsilon Red Ransomware Criptografa Indiscriminadamente

O Epsilon Red Ransomware é escrito na linguagem Golang (Go) e parece não ter o polimento normalmente encontrado no trabalho de programadores de malware profissionais. Além disso, o Epsilon Red criptografará todos os arquivos que encontrar, mesmo que sejam executáveis e DLLs essenciais que podem causar falhas no sistema se violados. Cada arquivo criptografado terá '.epsilonred' anexado ao seu nome original como uma nova extensão. A ameaça então entregará sua nota de resgate com uma cópia das instruções criadas em cada pasta que contém os dados bloqueados.

Deve-se observar que o Epsilon Red usa uma variação da nota de resgate deixada pela ameaça REvil Ransomware. A principal diferença é que os hackers por trás do Epsilon Red se deram ao trabalho de limpar alguns dos erros gramaticais e ortográficos encontrados na nota original.

Apesar de estarem ativos por um período relativamente curto, os hackers do Epsilon Red já lançaram campanhas de ataque contra vários alvos diferentes e podem já ter coletado um resgate de 4,28 BTC (Bitcoin) que era de cerca de US $210.000 na época.

Detalhes sobre o Registro

Epsilon Red Ransomware pode criar a seguinte entrada de registro ou entradas de registro:
Regexp file mask
%windir%\system32\red\[RANDOM CHARACTERS].ps1

Tendendo

Mais visto

Carregando...