Epsilon Red Ransomware

Yeni bir saldırı kampanyası, Epsilon Red adlı bir fidye yazılımı tehdidini dağıtmak için Microsoft Exchange sunucularındaki güvenlik açıklarından yararlanıyor. Epsilon Red Ransomware, bir ABD otelcilik şirketine yönelik bir saldırıyı araştırırken araştırmacılar tarafından keşfedildi. Bilgisayar korsanlarının ağdaki makinelere ulaşmak için ProxyLogon güvenlik açıklarına güvendiklerine inanılıyor. Bu özel istismar kümesinin, bir aydan daha kısa bir süre içinde güvenlik açığı bulunan şirket içi Microsoft Exchange sunucularının yaklaşık% 92'sine, sorunu ele alan güvenlik güncelleştirmesiyle yamalandığını gösteren tahminlerle, son derece ciddi olduğu kabul edildi. Bununla birlikte, Epsilon Red Ransomware kampanyasının gösterdiği gibi, bilgisayar korsanları hala istismar edilecek güvenli olmayan hedefler buluyor.

Saldırı Özellikleri

Epsilon Red ihlal edilen sisteme teslim edilmeden ve şifreleme rutini devreye girmeden önce, tehdit aktörleri, her biri farklı bir görevi yerine getiren önemli sayıda komut dosyası gönderir. Bu görevler arasında Gölge Birim Kopyalarını silmek, güvenlik ürünleri, veritabanları, yedekleme programları vb. İle ilgili çeşitli süreç ve hizmetleri sonlandırmak, Windows Olay Günlüklerini silmek, Windows Defender'ı devre dışı bırakmak, belirli güvenlik araçlarını tamamen kaldırmak, SAM'ı çalmak (Güvenlik Hesap Yöneticisi) bulunmaktadır. ) şifre karmaları ve daha fazlasını içeren dosya. Bırakılan komut dosyalarından biri, Copy-VSS adlı bir sızma testi aracının bir kopyası gibi görünüyor.

Bilgisayar korsanları ayrıca, Uzak Yardımcı Programlar adlı ticari bir uzaktan erişim programının bir kopyasını ve tehlikeye atılan sistemlerde Tor tarayıcısının bir kopyasını da dağıtır. Bilgisayar korsanları, bunları yedek erişim noktası olarak kullanmayı planlıyor.

Epsilon Red Ransomware Ayrım Yapmadan Şifreler

Epsilon Red Ransomware Golang (Go) dilinde yazılmıştır ve genellikle profesyonel kötü amaçlı yazılım kodlayıcılarının çalışmasında bulunan ciladan yoksun görünmektedir. Ayrıca, Epsilon Red, kurcalandığında sistem çökmelerine neden olabilecek temel yürütülebilir dosyalar ve DLL'ler olsalar bile bulduğu tüm dosyaları şifreler. Şifrelenmiş her dosyanın orijinal adına yeni bir uzantı olarak eklenen '.epsilonred' olacaktır. Tehdit daha sonra fidye notunu kilitli verileri içeren her klasörde oluşturulan talimatların bir kopyasıyla birlikte teslim edecektir.

Epsilon Red'in, REvil Ransomware tehdidi tarafından bırakılan fidye notunun bir varyasyonunu kullandığı unutulmamalıdır. Temel fark, Epsilon Red'in arkasındaki bilgisayar korsanlarının, orijinal notta bulunan bazı gramer ve yazım hatalarını temizlemek için zaman ayırmasıdır.

Nispeten kısa bir süre için aktif olmalarına rağmen, Epsilon Red hackerları birkaç farklı hedefe yönelik saldırı kampanyaları başlattı ve o zamanlar yaklaşık 210.000 $ olan 4,28 BTC (Bitcoin) fidye toplamış olabilirler.