Программа-вымогатель Epsilon Red

Новая кампания атак использует уязвимости на серверах Microsoft Exchange для развертывания угрозы вымогателя под названием Epsilon Red. Программа-вымогатель Epsilon Red была обнаружена исследователями при расследовании атаки на американскую гостиничную компанию. Считается, что хакеры полагаются на набор уязвимостей ProxyLogon для доступа к машинам в сети. Этот конкретный набор эксплойтов был признан чрезвычайно серьезным: по оценкам, менее чем за месяц почти 92% уязвимых локальных серверов Microsoft Exchange были исправлены с помощью обновления безопасности, устраняющего проблему. Однако, как показывает кампания Epsilon Red Ransomware, хакеры все еще находят незащищенные цели для использования.

Характеристики атаки

Прежде чем Epsilon Red будет доставлен в взломанную систему и будет задействована процедура шифрования, злоумышленники доставляют значительное количество сценариев, каждый из которых выполняет свою задачу. Среди этих задач - удаление теневых копий тома, уничтожение различных процессов и служб, связанных с продуктами безопасности, базами данных, программами резервного копирования и т. Д., Удаление журналов событий Windows, отключение Защитника Windows, полное удаление определенных инструментов безопасности, кража SAM (Security Account Manager ), который содержит хеши паролей и многое другое. Один из сброшенных скриптов, похоже, является копией инструмента тестирования на проникновение под названием Copy-VSS.

Хакеры также развертывают копию коммерческой программы удаленного доступа под названием Remote Utilities, а также браузер Tor на скомпрометированных системах. Скорее всего, хакеры планируют использовать их в качестве резервной точки доступа.

Программа- вымогатель Epsilon Red шифрует неизбирательно

Программа-вымогатель Epsilon Red написана на языке Golang (Go) и, похоже, не имеет той полировки, которую обычно можно найти в работе профессиональных программистов вредоносных программ. Кроме того, Epsilon Red зашифрует любые файлы, которые он найдет, даже если они являются важными исполняемыми файлами и библиотеками DLL, которые могут вызвать сбои в работе системы в случае вмешательства. К каждому зашифрованному файлу будет добавлено расширение .epsilonred к его исходному имени в качестве нового расширения. Затем угроза доставит записку о выкупе с копией инструкций, созданных в каждой папке, содержащей заблокированные данные.

Следует отметить, что Epsilon Red использует вариант записки о выкупе, сброшенной угрозой REvil Ransomware. Основное отличие состоит в том, что хакеры, стоящие за Epsilon Red, не пожалели времени, чтобы исправить некоторые грамматические и орфографические ошибки, обнаруженные в исходной заметке.

Несмотря на свою активность в течение относительно короткого промежутка времени, хакеры Epsilon Red уже начали кампании атак против нескольких различных целей и, возможно, уже собрали выкуп в размере 4,28 BTC (биткойн), который на тот момент составлял около 210 000 долларов.