Epsilon Red勒索軟件

一個新的攻擊活動正在利用Microsoft Exchange服務器中的漏洞來部署名為Epsilon Red的勒索軟件威脅。研究人員在調查針對一家美國酒店公司的攻擊時發現了Epsilon Red Ransomware。可以相信，黑客依靠ProxyLogon漏洞集來訪問網絡上的計算機。這組特定漏洞利用被認為非常嚴重，據估計，在不到一個月的時間裡，將近92％的易受攻擊的內部部署Microsoft Exchange Server進行了安全更新，從而解決了該問題。但是，正如Epsilon Red Ransomware活動所顯示的那樣，黑客仍在尋找不安全的目標加以利用。

攻擊特徵

在將Epsilon Red交付給受破壞的系統並使用加密例程之前，威脅行為者會交付大量腳本，每個腳本執行不同的任務。這些任務包括刪除卷影副本，殺死與安全產品，數據庫，備份程序等相關的各種進程和服務，刪除Windows事件日誌，禁用Windows Defender，徹底卸載某些安全工具，竊取SAM（安全帳戶管理器） ）文件，其中包含密碼哈希等。刪除的腳本之一似乎是名為Copy-VSS的滲透測試工具的副本。

黑客還部署了一個名為Remote Utilities的商業遠程訪問程序的副本，以及在受感染系統上部署的Tor瀏覽器。黑客極有可能計劃將它們用作備份訪問點。

Epsilon紅色勒索軟件不加選擇地加密

Epsilon Red Ransomware用Golang（Go）語言編寫，並且似乎缺乏專業惡意軟件編碼人員通常所具有的特色。此外，Epsilon Red將加密找到的所有文件，即使它們是必不可少的可執行文件和DLL，如果被篡改也可能導致系統崩潰。每個加密文件都會在其原始名稱後附加" .epsilonred"作為新擴展名。然後，威脅將提供贖金記錄，並在每個包含鎖定數據的文件夾中創建指令的副本。

應該注意的是，Epsilon Red使用了由REvil Ransomware威脅刪除的贖金票據的變體。主要區別在於，Epsilon Red背後的黑客已花時間清理了原始筆記中發現的某些語法和拼寫錯誤。

儘管活動時間相對較短，但Epsilon Red黑客已經針對幾個不同的目標發起了攻擊活動，並可能已經收集了4.28 BTC（比特幣）的贖金，當時的贖金約為21萬美元。