Novo Epsilon Red Ransomware ataca Servidores Microsoft Exchange

09/06/2021 mindsecblog Notícias 3

Novo Epsilon Red Ransomware ataca Servidores Microsoft Exchange sem correção, é detectado por analistas da Sophos.

Epsilon Red é um conjunto de scripts distintos do PowerShell, que estavam sendo desenvolvidos para fazer criptografia. Durante a investigação de um ataque sem nome ocorrido a uma empresa americana do setor de hospitalidade, os analistas de segurança da Sophos detectaram um novo malware.

De acordo com os especialistas em segurança, os agentes de ameaça deste novo ransomware chamado Epsilon Red estão explorando continuamente as vulnerabilidades nos servidores Microsoft Exchange .

No entanto, os analistas também afirmaram que o principal motivo dos agentes de ameaça do Epsilon Red era comprometer os sistemas de computador e, em seguida, criptografar todos os dados possíveis.

Além de tudo isso, os analistas estão tentando ao máximo conhecer todos os detalhes-chave deste ransomware, pois atualmente, eles não sabem se os hackers exploraram as vulnerabilidades do ProxyLogon ou não para acessar os dispositivos.

Visando o servidor Microsoft Exchange vulnerável

Parece que um servidor Microsoft Exchange corporativo foi o ponto inicial de entrada dos invasores na rede corporativa. Não está claro se isso foi habilitado pelo exploit ProxyLogon ou outra vulnerabilidade, mas parece provável que a causa raiz foi um servidor sem patch. A partir dessa máquina, os invasores usaram o WMI para instalar outro software em máquinas dentro da rede que eles poderiam alcançar a partir do servidor Exchange.

O nome Epsilon Red, como muitos cunhados por atores de ameaças de ransomware, é uma referência à cultura pop. O personagem Epsilon Red era um adversário relativamente obscuro de alguns dos X-Men no universo estendido da Marvel, um “super soldado” supostamente de origem russa, ostentando quatro tentáculos mecânicos e uma atitude ruim.

Os hackers entraram na rede corporativa usando as vulnerabilidades que estão presentes no servidor Microsoft Exchange local. Epsilon Red é escrito na linguagem Golang (Go), que contém um conjunto de script PowerShell que torna o dispositivo para criptografia de arquivo.

O pesquisador-chefe da Sophos declarou em um relatório que os atores da ameaça podem ter aproveitado o conjunto de vulnerabilidades ProxyLogon para alcançar as máquinas na rede, mas eles ainda não confirmaram isso e estão tentando encontrar os principais detalhes de acordo.

Os bugs do ProxyLogon se tornaram bastante populares entre os hackers e estão sendo amplamente usados por vários agentes de ameaças, já que esse bug ajuda os hackers a fazer uma varredura na web em busca de dispositivos vulneráveis para que eles possam facilmente comprometer o sistema.

Ransomware puro

O ransomware básico é bastante popular e é conhecido por seu programa executável para Windows de 64 bits, disponível na linguagem Go.

Além disso, esse ransomware também é conhecido como RED.exe. (um executável do Windows de 64 bits) e os pesquisadores observaram de perto que este ransomware usa uma ferramenta chamada MinGW em sua operação.

Além disso, o ransomware Bare-bones é crítico por natureza, porque eles usam a ferramenta MinGW que vem com todas as versões avançadas do empacotador de tempo de execução UPX.

Um conjunto único de ferramentas

O ransomware Epsilon red é embalado com um conjunto de ferramentas exclusivas que têm uma finalidade diferente, e aqui o GBHacker relacionou algumas:

eliminar processos e serviços para ferramentas de segurança, bancos de dados, programas de backup, aplicativos do Office, clientes de e-mail
excluir cópias de sombra de volume
roubar o arquivo do Security Account Manager (SAM) contendo hashes de senha
excluir logs de eventos do Windows
desabilitar o Windows Defender
suspender processos
desinstalar ferramentas de segurança (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
expandir as permissões no sistema

Modelo de nota de resgate REvil

No entanto, o ransomware Epsilon Red não parece ser trabalho de profissionais, mas pode causar uma grande confusão, pois aparece sem restrições para criptografar diferentes tipos de arquivos e pastas.

Este ransomware criptografa suavemente tudo, incluindo as pastas direcionadas que estão anexadas ao sufixo ou extensão “.epsilonred”.

A investigação dos analistas de segurança também afirma que as instruções que foram usadas neste ataque de ransomware parecem familiares, já que os atores da ameaça usaram a mesma versão aprimorada da nota de resgate que foi usada no ransomware REvil.

Durante a investigação, os pesquisadores de segurança descobriram que, em 15 de maio, uma das vítimas desse ransomware já pagou uma grande quantia de 4,28 BTC, que é cerca de US $ 210.000 para os hackers por trás desse ransomware.

Além disso, o fato mais interessante deste ransomware é que ele não poupa executáveis ou DLLs que poderiam facilmente impactar programas importantes e também no sistema operacional.

Os produtos de endpoint da Sophos, como o Intercept X , irão detectar comportamentalmente várias das ações executadas pelos scripts do PowerShell ou pela carga útil do ransomware. O ato de tentar criptografar arquivos é bloqueado pelo recurso CryptoGuard . Como o ponto de entrada para esse ataque parece ter sido um servidor Exchange vulnerável à cadeia de exploração ProxyLogon, os clientes são instados a corrigir os servidores Exchange voltados para a Internet o mais rápido possível. Os produtos de endpoint da Sophos podem proteger servidores Exchange, bem como controladores de domínio ou estações de trabalho.

Os indicadores de comprometimento dessa ameaça podem ser encontrados no SophosLabs Github .