Epsilon Red Ransomware

Una nueva campaña de ataque aprovecha las vulnerabilidades en los servidores de Microsoft Exchange para implementar una amenaza de ransomware llamada Epsilon Red. El Epsilon Red Ransomware fue descubierto por investigadores mientras investigaban un ataque contra una empresa hotelera estadounidense. Se cree que los piratas informáticos confían en el conjunto de vulnerabilidades de ProxyLogon para llegar a las máquinas de la red. Este conjunto particular de exploits se consideró extremadamente grave y las estimaciones muestran que en menos de un mes casi el 92% de los servidores Microsoft Exchange locales vulnerables fueron parcheados con la actualización de seguridad que aborda el problema. Sin embargo, como muestra la campaña Epsilon Red Ransomware, los piratas informáticos siguen encontrando objetivos no seguros para explotar.

Características de ataque

Antes de que Epsilon Red se entregue al sistema violado y se active la rutina de cifrado, los actores de amenazas entregan una cantidad sustancial de scripts, cada uno de los cuales realiza una tarea diferente. Entre estas tareas se encuentran eliminar las instantáneas de volumen, matar varios procesos y servicios asociados con productos de seguridad, bases de datos, programas de respaldo, etc., eliminar registros de eventos de Windows, deshabilitar Windows Defender, desinstalar por completo ciertas herramientas de seguridad, robar el SAM (Security Account Manager). ) que contiene hashes de contraseña y más. Uno de los scripts eliminados parece ser una copia de una herramienta de prueba de penetración llamada Copy-VSS.

Los piratas informáticos también implementan una copia de un programa comercial de acceso remoto llamado Remote Utilities, así como el navegador Tor en los sistemas comprometidos. Es muy probable que los piratas informáticos planeen utilizarlos como un punto de acceso de respaldo.

El ransomware Epsilon Red cifra indiscriminadamente

El Epsilon Red Ransomware está escrito en el idioma Golang (Go) y parece carecer del pulido que normalmente se encuentra en el trabajo de los codificadores de malware profesionales. Además, Epsilon Red encriptará cualquier archivo que encuentre, incluso si son ejecutables esenciales y DLL que podrían causar fallas en el sistema si se manipulan. Cada archivo cifrado tendrá '.epsilonred' adjunto a su nombre original como una nueva extensión. La amenaza luego entregará su nota de rescate con una copia de las instrucciones creadas en cada carpeta que contiene datos bloqueados.

Cabe señalar que Epsilon Red usa una variación de la nota de rescate lanzada por la amenaza REvil Ransomware. La principal diferencia es que los piratas informáticos detrás de Epsilon Red se han tomado el tiempo de limpiar algunos de los errores gramaticales y ortográficos que se encuentran en la nota original.

A pesar de estar activos durante un período de tiempo relativamente corto, los piratas informáticos de Epsilon Red ya han lanzado campañas de ataque contra varios objetivos diferentes y es posible que ya hayan cobrado un rescate de 4.28 BTC (Bitcoin), que era de alrededor de $ 210,000 en ese momento.