Ransomware Epsilon Red busca servidores de Microsoft Exchange sin parches

Iniciado por Dragora, Mayo 31, 2021, 05:36:57 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Se ha observado que una nueva amenaza de ransomware que se hace llamar Red Epsilon aprovecha las vulnerabilidades del servidor de Microsoft Exchange para cifrar máquinas en toda la red.

Los ataques de ransomware Epsilon Red se basan en más de una docena de scripts antes de alcanzar la etapa de cifrado y también utilizan una utilidad comercial de escritorio remoto.

Golpear el servidor vulnerable de Microsoft Exchange

Los equipos de respuesta a incidentes de la empresa de ciberseguridad Sophos descubrieron el nuevo ransomware Epsilon Red durante la semana pasada mientras investigaban un ataque a una empresa estadounidense bastante grande del sector hotelero.

Los investigadores encontraron que el actor de la amenaza violó la red empresarial al explotar vulnerabilidades sin parchear en el servidor de Microsoft Exchange en las instalaciones.

Andrew Brandt, investigador principal de Sophos, dice en un informe de hoy que los atacantes pueden haber aprovechado el conjunto de vulnerabilidades de ProxyLogon para llegar a las máquinas en la red.

Los errores de ProxyLogon han sido ampliamente publicitados cuando los piratas informáticos aprovecharon la ocasión y comenzaron a escanear la web en busca de dispositivos vulnerables y comprometer los sistemas.

Debido a la gravedad crítica, las organizaciones de todo el mundo se apresuraron a instalar los parches y, en menos de un mes, aproximadamente el 92% de los servidores Microsoft Exchange locales vulnerables recibieron la actualización .

Conjunto de herramientas único

Epsilon Red está escrito en Golang (Go) y está precedido por un conjunto de scripts de PowerShell únicos que preparan el terreno para la rutina de cifrado de archivos, cada uno con un propósito específico:

- matar procesos y servicios para herramientas de seguridad, bases de datos, programas de respaldo, aplicaciones de Office, clientes de correo electrónico
- eliminar instantáneas de volumen
- robar el archivo de Security Account Manager (SAM) que contiene hashes de contraseña
- eliminar registros de eventos de Windows
- deshabilitar Windows Defender
- suspender procesos
- desinstalar herramientas de seguridad (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
ampliar los permisos en el sistema

La mayoría de los guiones están numerados del 1 al 12, pero hay algunos que se nombran como una sola letra. Uno de ellos, c.ps1, parece ser un clon de la herramienta de prueba de penetración Copy-VSS .


fuente: Sophos

Después de violar la red, los piratas informáticos llegan a las máquinas a través de RDP y usan Windows Management Instrumentation (WMI) para instalar software y ejecutar scripts de PowerShell que finalmente implementan el ejecutable Epsilon Red.

Los investigadores de Sophos notaron que el actor de amenazas también instala una copia de Remote Utilities , un software comercial para operaciones de escritorio remoto, y el navegador Tor. Este movimiento es para asegurar que todavía tengan una puerta abierta si pierden el acceso a través del punto de entrada inicial.


fuente: Sophos

Modelo de nota de rescate de REvil

Peter Mackenzie, gerente del equipo de Sophos Rapid Response, le dijo a BleepingComputer que aunque esta versión de Epsilon Red no parece ser obra de profesionales, puede causar un gran lío, ya que no tiene restricciones para encriptar tipos de archivos y carpetas.

El malware tiene poca funcionalidad aparte de cifrar archivos y carpetas, pero incluye código de la herramienta de código abierto godirwalk, una biblioteca para atravesar un árbol de directorios en un sistema de archivos.

Esta funcionalidad permite a Epsilon Red escanear el disco duro y agregar rutas de directorio a una lista de destinos para procesos secundarios que encriptan subcarpetas individualmente. Al final, las máquinas infectadas ejecutarán una gran cantidad de copias del proceso de ransomware.

Cifra todo en las carpetas de destino agregando el sufijo ".epsilonred", sin salvar ejecutables o DLL que podrían romper programas esenciales o incluso el sistema operativo.

En la forma típica de ransomware, Epsilon Red coloca en cada carpeta procesada la nota de rescate con instrucciones sobre cómo contactar a los atacantes para negociar un precio de descifrado de datos.

Si las instrucciones parecen familiares es porque los atacantes usan una versión mejorada de la nota de rescate utilizada por el ransomware REvil. Sin embargo, Epsilon Red hizo un esfuerzo por corregir los errores gramaticales y ortográficos originales de la pandilla rusa.


Si bien el origen de los piratas informáticos sigue siendo desconocido por el momento, está claro de dónde obtuvieron su nombre. Epsilon Red es un personaje poco conocido del universo Marvel, un súper soldado ruso con cuatro tentáculos que pueden respirar en el espacio.

A pesar de ser nuevo en el negocio del ransomware, la banda de ransomware Epsilon Red ha atacado a varias empresas y los incidentes están siendo investigados por varias empresas de ciberseguridad.

fuente: Sophos

Los hackers también han ganado algo de dinero. Sophos descubrió que una víctima de esta amenaza de ransomware pagó a los atacantes 4.28 BTC el 15 de mayo (alrededor de $ 210,000).


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta