Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Операторы нового вымогателя Epsilon Red атакуют серверы Microsoft Exchange

01/06/21

hack75-Jun-01-2021-09-25-03-32-AMОператоры нового вымогательского ПО под названием Red Epsilon используют уязвимости в серверах Microsoft Exchange для взлома компьютерных систем и шифрования данных. Специалисты из ИБ-компании Sophos обнаружили новый вредонос во время расследования атаки на неназванную крупную американскую компанию в сфере гостеприимства.

Злоумышленники проникли в корпоративную сеть, используя уязвимости в локальном сервере Microsoft Exchange. Эксперты в настоящее время не знают, эксплуатировали ли хакеры уязвимости ProxyLogon для доступа к устройствам.

Epsilon Red написан на языке Golang (Go) и содержит набор уникальных PowerShell-скриптов, которые подготавливают устройство для процедуры шифрования файлов. Скрипты способны отключать процессы и службы защитных решений, баз данных, программ резервного копирования, приложений Office и почтовых клиентов, удалять Volume Shadow Copies, похищать файл Security Account Manager (SAM) с хешами паролей, удалять логи событий Windows, отключать Защитника Windows, повышать привилегии на системе и пр.

Большинство скриптов пронумерованы от 1 до 12, но есть несколько, которые названы одной буквой. Один из них, c.ps1, похоже, является клоном инструмента тестирования на проникновение Copy-VSS.

После взлома сети хакеры получают доступ к компьютерам через Remote Desktop Protocol (RDP) и используют инструментарий управления Windows (WMI) для установки программного обеспечения и запуска PowerShell-скриптов. Исследователи Sophos заметили, что злоумышленники также устанавливают браузер Tor и копию коммерческого программного обеспечения для операций с удаленными рабочими столами Remote Utilities.

Вымогатель шифрует все данные в целевых папках, добавляя расширение .epsilonred, не щадя исполняемые файлы или DLL-библиотеки, которые могут нарушить работу важных программ или даже операционной системы.

Хотя название и инструменты являются уникальными для данного злоумышленника, записка о выкупе на зараженных компьютерах похожа на записку, которую оставляет группировка REvil. Однако в записке Epsilon Red внесено несколько незначительных грамматических исправлений. Других сходств между программой-вымогателем Epsilon Red и REvil не было выявлено.

По результатам анализа адреса криптовалютного кошелька злоумышленников стало известно, что по крайней мере одна из жертв заплатила 15 мая нынешнего года выкуп в размере 4,29 биткойнов (примерно $210 тыс.).

Темы:УгрозыSophosВымогателиMicrosoft Exchange
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...