Novo ataque do Epsilon Red Ransomware servidores não reparáveis do Microsoft Exchange

Views: 628
0 0
Read Time:3 Minute, 9 Second

Epsilon Red é um conjunto de scripts powershell distintos, que estavam sendo desenvolvidos para fazer criptografia. Durante uma investigação de um ataque não identificado que aconteceu em uma empresa americana no setor de hospitalidade, os analistas de segurança da Sophos detectaram um novo malware.

De acordo com os especialistas em segurança, os atores de ameaça deste novo ransomware chamado Epsilon Red, e estão continuamente explorando as vulnerabilidades nos servidores microsoft exchange.

No entanto, os analistas também afirmaram que o principal motivo dos atores de ameaça do Epsilon Red era comprometer os sistemas de computador e, em seguida, criptografar todos os dados possíveis.

Além de todos esses, os analistas estão tentando ao máximo para saber todos os detalhes-chave deste ransomware, como atualmente, eles não sabem se os hackers exploraram vulnerabilidades do ProxyLogon ou não para acessar os dispositivos.

Visando o servidor Microsoft Exchange vulnerável

Os hackers entraram na rede corporativa usando as vulnerabilidades presentes no servidor local do Microsoft Exchange. Epsilon Red é escrito na linguagem Golang (Go), que contém um conjunto de script PowerShell que faz o dispositivo para criptografia de arquivos.

O pesquisador-chefe da Sophos pronunciou em um relatório que os atores de ameaças podem ter aproveitado o conjunto de vulnerabilidades proxyLogon para alcançar máquinas na rede, mas eles não estão confirmados sobre isso e estão tentando encontrar os detalhes-chave de acordo.

Os bugs do ProxyLogon tornaram-se bastante populares entre os hackers e estão sendo atacados amplamente por vários atores de ameaças, pois este bug ajuda os hackers a digitalizar a web em busca de dispositivos vulneráveis e, em seguida, eles podem facilmente comprometer o sistema.

Ransomware de ossos nus

O ransomware de ossos nus é bastante popular, e é conhecido por seu programado executável windows de 64 bits que está disponível no idioma Go.

Além disso, este ransomware também é conhecido como RED.exe. (um Windows executável de 64 bits) e os pesquisadores observaram de perto que este ransomware usa uma ferramenta chamada MinGW em sua operação.

Além disso, o ransomware Bare-bones é de natureza crítica, porque eles usam a ferramenta MinGW que é recheada com todas as versões avançadas do empacotador UPX.

Um conjunto único de ferramentas

O ransomware vermelho Epsilon está repleto de um conjunto de ferramentas únicas que têm um propósito diferente, e aqui nós as mencionamos abaixo:-

  • matar processos e serviços para ferramentas de segurança, bancos de dados, programas de backup, aplicativos do Office, clientes de e-mail
  • excluir cópias de sombra de volume
  • roubar o arquivo SAM (Security Account Manager, gerente de conta de segurança) contendo hashes de senha
  • excluir registros de eventos do Windows
  • desativar o Windows Defender
  • suspender processos
  • desinstalar ferramentas de segurança (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
  • expandir permissões no sistema

Modelo de nota de resgate REvil

No entanto, o ransomware Epsilon Red não se assemelha a ser o trabalho de profissionais, mas doente, stit pode causar uma enorme confusão, pois parece sem restrições para criptografar diferentes tipos de arquivos e pastas.

Este ransomware criptografa tudo, desde as pastas alvo que estão anexadas ao sufixo ou extensão “.epsilonred”.

A investigação dos analistas de segurança também afirma que as instruções que foram usadas neste ataque de ransomware parecem familiares, já que os atores de ameaças usaram a mesma versão enfeitada da nota de resgate que foi usada no ransomware REvil.

Enquanto durante sua investigação os pesquisadores de segurança descobriram que em 15 de maio uma das vítimas deste ransomware já pagou uma quantia pesada de 4,28 BTC, que é cerca de US $ 210.000 para os hackers por trás deste ransomware.

Além disso, o fato mais interessante deste ransomware é que ele não poupa executáveis ou DLLs que poderiam facilmente invadir programas importantes e também no sistema operacional.

FONTE: GB HACKERS

POSTS RELACIONADOS