Investigadores en ciberseguridad han sido testigos de
una variedad nunca antes vista de ransomware de Windows que pudo comprometer un
servidor de correo electrónico de Microsoft Exchange sin parches y abrirse
camino en las redes de una empresa hotelera con sede en EE. UU.
En una publicación detallada, los analistas de Sophos
revelaron que el ransomware escrito en el lenguaje de programación Go se llama
a sí mismo Epsilon Red. Basado en la dirección de criptomoneda proporcionada
por los atacantes, Sophos cree que al menos una de las víctimas del Epsilon Red
pagó un rescate de 4.29 BTC el 15 de mayo, o alrededor de $ 210,000.
Parece que un servidor Microsoft Exchange empresarial fue el punto inicial de entrada de los atacantes a la red empresarial. No está claro si esto fue habilitado por el exploit de ProxyLogon u otra vulnerabilidad, pero parece probable que la causa principal fuera un servidor sin parches.
Escribe el investigador principal de Sophos, Andrew Brandt.
Powershell ransomware
Una vez que Epsilon Red se ha introducido en una máquina,
utiliza Windows Management Instrumentation (WMI) para instalar otro software en
cualquier máquina dentro de la red a la que pueda acceder desde el servidor
Exchange.
Sophos comparte que durante el ataque, los Hackers lanzan
una serie de scripts de PowerShell para preparar las máquinas atacadas para el
ransomware final. Esto incluye, por ejemplo, eliminar las instantáneas de
volumen, para garantizar que las máquinas cifradas no se puedan restaurar,
antes de entregar e iniciar el ransomware en sí.
El ransomware en sí es bastante pequeño y solo cifra
realmente los archivos, ya que todos los demás aspectos del ataque son
realizados por los scripts de PowerShell.
Los investigadores señalan que el ejecutable del ransomware
contiene un código que han obtenido de un proyecto de código abierto llamado
godirwalk, para escanear el disco y compilarlo en una lista.
Quizás el aspecto más extraño de toda la campaña es que la
nota de rescate de Epsilon Red "se parece mucho" a la que dejaron los
actores de amenazas detrás del ransomware REvil, aunque un poco más refinada
gramaticalmente para que tenga sentido para los hablantes nativos de inglés.
0 Comentarios