Epsilon Red Ransomware

Une nouvelle campagne d'attaque exploite les vulnérabilités des serveurs Microsoft Exchange pour déployer une menace de ransomware nommée Epsilon Red. Le Ransomware Epsilon Red a été découvert par des chercheurs alors qu'ils enquêtaient sur une attaque contre une société hôtelière américaine. On pense que les pirates informatiques s'appuient sur l'ensemble de vulnérabilités ProxyLogon pour atteindre les machines sur le réseau. Cet ensemble particulier d'exploits a été jugé extrêmement grave avec des estimations montrant en moins d'un mois que près de 92% des serveurs Microsoft Exchange sur site vulnérables ont été corrigés avec la mise à jour de sécurité corrigeant le problème. Cependant, comme le montre la campagne Epsilon Red Ransomware, les pirates informatiques trouvent toujours des cibles non sécurisées à exploiter.

Caractéristiques d'attaque

Avant que l'Epsilon Red ne soit livré au système piraté et que la routine de cryptage ne soit engagée, les acteurs de la menace fournissent un nombre important de scripts, chacun effectuant une tâche différente. Parmi ces tâches figurent la suppression des clichés instantanés en volume, la suppression de divers processus et services associés aux produits de sécurité, aux bases de données, aux programmes de sauvegarde, etc., la suppression des journaux d'événements Windows, la désactivation de Windows Defender, la désinstallation pure et simple de certains outils de sécurité, le vol du SAM (Security Account Manager ) contenant des hachages de mots de passe et plus encore. L'un des scripts abandonnés semble être une copie d'un outil de test de pénétration nommé Copy-VSS.

Les pirates informatiques déploient également une copie d'un programme commercial d'accès à distance appelé Remote Utilities, ainsi que le navigateur Tor sur les systèmes compromis. Les pirates ont très probablement l'intention de les utiliser comme point d'accès de sauvegarde.

Le Ransomware Epsilon Red crypte sans discernement

Le Epsilon Red Ransomware est écrit dans le langage Golang (Go) et ne semble pas avoir le vernis que l'on trouve habituellement dans le travail des codeurs de logiciels malveillants professionnels. De plus, l'Epsilon Red cryptera tous les fichiers qu'il trouve, même s'il s'agit d'exécutables et de DLL essentiels qui pourraient provoquer des pannes du système en cas de falsification. Chaque fichier crypté aura «.epsilonred» attaché à son nom d'origine en tant que nouvelle extension. La menace remettra ensuite sa note de rançon avec une copie des instructions créées dans chaque dossier contenant des données verrouillées.

Il convient de noter qu'Epsilon Red utilise une variante de la note de rançon abandonnée par la menace REvil Ransomware. La principale différence est que les pirates derrière Epsilon Red ont pris le temps de nettoyer certaines des fautes de grammaire et d'orthographe trouvées dans la note originale.

Bien qu'ils aient été actifs pendant un laps de temps relativement court, les hackers d'Epsilon Red ont déjà lancé des campagnes d'attaque contre plusieurs cibles différentes et ont peut-être déjà collecté une rançon de 4,28 BTC (Bitcoin) qui était d'environ 210000 $ à l'époque.