Este nuevo ransomware se dirige a servidores de Microsoft Exchange sin parches
Seguridad cibernética investigadores han sido testigos de una variedad nunca antes vista de Windows Secuestro de datos que puede haber comprometido un Microsoft Exchange sin parchear Correo electrónico servidor y se abren camino a través de las redes de una empresa hotelera con sede en EE. UU.
En un artículo detallado, Los analistas de Sophos revelaron que el ransomware escrito en el lenguaje de programación Go se llama Epsilon Red.
Basado en criptomoneda dirección proporcionada por los atacantes, Sophos estima que al menos una de las víctimas de Epsilon Red pagó un rescate de 4.29 BTC el 15 de mayo, o aproximadamente $ 210,000.
Echamos un vistazo a cómo nuestros lectores están usando VPN para un próximo informe en profundidad. Nos encantaría saber de usted en la encuesta a continuación. No tomará más de 60 segundos de su tiempo.
>> Haga clic aquí para iniciar la encuesta en una nueva ventana<
“Parece que un servidor Microsoft Exchange corporativo fue el punto inicial de entrada de los atacantes a la red corporativa. No está claro si esto fue activado por el ProxyLogon exploit u otra vulnerabilidad, pero parece probable que la causa principal fuera un servidor sin parches ”, escribe Andrew Brandt, investigador senior de Sophos.
Ransomware PowerShell
Una vez que Epsilon Red se ha introducido en una máquina, utiliza Windows Management Instrumentation (WMI) para instalar otro software en cualquier máquina de la red a la que pueda acceder desde el servidor Exchange.
Sophos comparte que durante el ataque, los actores de amenazas ejecutan una serie de scripts de PowerShell para preparar las máquinas atacadas para el ransomware final. Esto incluye, por ejemplo, eliminar las instantáneas de volumen, para garantizar que las máquinas cifradas no se puedan restaurar, antes de entregar y ejecutar finalmente el ransomware.
El ransomware en sí es bastante pequeño y en realidad solo cifra los archivos, ya que todos los demás aspectos del ataque se llevan a cabo mediante scripts de PowerShell.
Los investigadores señalan que el ejecutable del ransomware contiene código que extrajeron de un proyecto de código abierto llamado godirwalk, para escanear el disco y compilarlo en una lista.
Quizás el aspecto más extraño de toda la campaña es que la nota de rescate de Epsilon Red «se parece mucho» a la que dejaron los actores de amenazas detrás de la REvil ransomware, aunque un poco más refinado gramaticalmente para que tenga sentido para los angloparlantes.
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
