Epsilon Red Ransomware

Firma de securitate Sophos a descoperit noul ransomware, numit Epsilon Red, într-o anchetă a unui atac asupra unei companii din SUA, a scris Andrew Brandt, cercetătorul principal al Sophos.

Numele – inventat chiar de atacatori, care ar putea fi același grup din spatele ransomware-ului REvil – este o referință la un personaj inamic obscur din benzile desenate Marvel X-Men.

Malware-ul este un executabil Windows pe 64 de biți programat în limbajul de programare Go, iar modul său de livrare este puțin mai sofisticat, bazându-se pe o serie de scripturi PowerShell.

Potențialul link către grupul REvil a venit în nota de răscumpărare lăsată pe computerele infectate, care „seamănă cu nota lăsată și de ransomware-ul REvil, dar adaugă câteva corecții gramaticale minore” care o fac mai ușor de citit pentru vorbitorii nativi de engleză, a scris Brandt. Cu toate acestea, numele ransomware-ului și instrumentele păreau să fie unice pentru atacatorul respectiv și nu existau alte asemănări cu vectorul tipic de atac REvil.

Victima atacului observat de cei de la Sophos a ajuns să plătească o răscumpărare de 4,29 Bitcoin pe 15 mai, echivalentul a aproximativ 210.000 de dolari în acel moment.

În timp ce numele și instrumentele sunt unice pentru acest nou ransomware, nota de răscumpărare lăsată pe computerele infectate seamănă cu cea lăsată de ransomware-ul REvil, diferența dintre acestea constând în câteva corecții gramaticale minore. În afară de acest aspect, nu au mai fost identificate alte asemănări între cele două ransomware.

Se pare că punctul inițial al atacatorilor a fost un server Microsoft Exchange. Nu se știe încă exact dacă  atacul a fost bazat pe exploatarea vulnerabilității ProxyLogon sau o altă vulnerabilitate. De acolo, atacatorii au folosit WMI pentru a instala alte programe pe sisteme din interiorul rețelei.

Atacatorii lansează o serie de scripturi PowerShell numerotate de la 1.ps1 la 12.ps1 care pregătesc efectiv sistemele pentru lansarea sarcinii finale de ransomware. Instrumentarea PowerShell a fost creată și declanșată de un script PowerShell numit RED.ps1 executat pe mașinile victimă cu ajutorul WMI. Scriptul descarcă și dezarhivează în cadrul folderului system32 o arhivă .7z care conține restul scripturilor, executabilul ransomware și un alt executabil.

Ca metodă de obfuscare, atacatorii au folosit o metodă rudimentară în care au adăugat în anumite scripturi paranteze întâmplătoare, despărțind liniile codului scriptului PowerShell, utilizând mai apoi o comandă care înlătură acele paranteze.

Sursa: https://threatpost.com/exchange-servers-epsilon-red-ransomware/166640/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică