Epsilon Red Ransomware

En ny attackkampanj utnyttjar sårbarheter på Microsoft Exchange-servrar för att distribuera ett hot mot ransomware som heter Epsilon Red. Epsilon Red Ransomware upptäcktes av forskare medan de undersökte en attack mot ett amerikanskt gästfrihetsföretag. Man tror att hackarna förlitar sig på ProxyLogon-uppsättningen sårbarheter för att nå maskiner i nätverket. Denna särskilda uppsättning bedömningar ansågs vara extremt allvarlig med uppskattningar som visade på mindre än en månad nästan 92% av de utsatta lokala Microsoft Exchange-servrarna lappades med säkerhetsuppdateringen som tog upp problemet. Men som Epsilon Red Ransomware-kampanjen visar, hittar hackare fortfarande osäkra mål att utnyttja.

Attackegenskaper

Innan Epsilon Red levereras till det trasiga systemet och krypteringsrutinen är engagerad, levererar hotaktörerna ett stort antal skript, som alla utför sina olika uppgifter. Bland dessa uppgifter är att ta bort Shadow Volume-kopior, döda olika processer och tjänster i samband med säkerhetsprodukter, databaser, säkerhetskopieringsprogram etc., ta bort Windows Event Logs, inaktivera Windows Defender, direkt avinstallera vissa säkerhetsverktyg, stjäla SAM (Security Account Manager) ) -fil som innehåller lösenordshash och mer. Ett av de tappade skripten verkar vara en kopia av ett penetreringsverktyg med namnet Copy-VSS.

Hackarna distribuerar också en kopia av ett kommersiellt fjärråtkomstprogram med namnet Remote Utilities, liksom Tor-webbläsaren på de komprometterade systemen. Hackarna planerar mer än troligt att använda dessa som en reservåtkomstpunkt.

Epsilon Red Ransomware krypterar urskillningslöst

Epsilon Red Ransomware är skrivet på Golang (Go) -språket och verkar sakna det polska som vanligtvis finns i arbetet med professionella kodare för skadlig kod. Dessutom kommer Epsilon Red att kryptera alla filer som de hittar även om de är viktiga körbara filer och DLL-filer som kan orsaka systemkrascher om de manipuleras. Varje krypterad fil har '.epsilonred' bifogat sitt ursprungliga namn som ett nytt tillägg. Hotet kommer sedan att leverera sin lösensedel med en kopia av instruktionerna som skapats i varje mapp som innehåller låsta data.

Det bör noteras att Epsilon Red använder en variant av lösensedeln som tappats av REvil Ransomware- hotet. Huvudskillnaden är att hackarna bakom Epsilon Red har tagit sig tid att städa upp några av de grammatiska och stavfel som finns i originalnoten.

Trots att de varit aktiva under relativt kort tid har Epsilon Red-hackarna redan inlett attackkampanjer mot flera olika mål och kan redan ha samlat in en lösen på 4,28 BTC (Bitcoin) som var cirka 210 000 dollar då.