Epsilon Red勒索软件

一个新的攻击活动正在利用Microsoft Exchange Server中的漏洞来部署名为Epsilon Red的勒索软件威胁。研究人员在调查针对一家美国酒店公司的攻击时发现了Epsilon Red Ransomware。据认为，黑客依靠ProxyLogon漏洞集来访问网络上的计算机。这组特定的漏洞利用被认为非常严重，据估计，在不到一个月的时间里，将近92％的易受攻击的内部部署Microsoft Exchange服务器使用了解决该问题的安全更新。但是，正如Epsilon Red Ransomware活动所显示的那样，黑客仍在寻找不安全的目标加以利用。

攻击特征

在将Epsilon Red交付给受破坏的系统并使用加密例程之前，威胁行为者会交付大量脚本，每个脚本执行不同的任务。这些任务包括删除卷影副本，杀死与安全产品，数据库，备份程序等相关的各种进程和服务，删除Windows事件日志，禁用Windows Defender，彻底卸载某些安全工具，窃取SAM（安全帐户管理器） ）文件，其中包含密码哈希等。删除的脚本之一似乎是名为Copy-VSS的渗透测试工具的副本。

黑客还部署了一个名为Remote Utilities的商业远程访问程序的副本，以及在受感染系统上部署的Tor浏览器。黑客极有可能计划将它们用作备份访问点。

Epsilon红色勒索软件不加选择地加密

Epsilon Red Ransomware是用Golang（Go）语言编写的，似乎缺乏专业恶意软件编码人员通常所具有的特色。此外，Epsilon Red将对找到的所有文件进行加密，即使它们是必不可少的可执行文件和DLL，如果被篡改也可能导致系统崩溃。每个加密文件都会在其原始名称后附加" .epsilonred"作为新扩展名。然后，威胁将提供赎金记录，并在每个包含锁定数据的文件夹中创建指令的副本。

应该注意的是，Epsilon Red使用了由REvil Ransomware威胁删除的赎金票据的变体。主要区别在于，Epsilon Red背后的黑客已花时间清理了原始笔记中发现的某些语法和拼写错误。

尽管活动时间相对较短，但Epsilon Red黑客已经针对几个不同的目标发起了攻击活动，并可能已经收集了4.28 BTC（比特币）的赎金，当时的赎金约为21万美元。