Este nuevo ransomware ataca servidores de Microsoft Exchange sin parches
Investigadores han observado que una nueva amenaza de ransomware llamada Red Epsilon aprovecha las vulnerabilidades de servidores de Microsoft Exchange para cifrar máquinas en toda la red.
Los ataques de ransomware Epsilon Red se basan en más de una docena de scripts antes de alcanzar la etapa de cifrado. Y, también utilizan una herramienta comercial de escritorio remoto.
Objetivo: Atacar el servidor vulnerable de Microsoft Exchange
Los equipos de respuesta a incidentes de la empresa de ciberseguridad Sophos descubrieron el nuevo ransomware Epsilon Red. El equipo lo descubrió la semana pasada mientras investigaban un ataque a una empresa estadounidense bastante grande del sector hotelero.
Los investigadores encontraron que el actor de la amenaza vulneró la red empresarial. Los ciberdelincuentes explotaron vulnerabilidades sin parchear en el servidor de Microsoft Exchange de la red de la empresa.
Andrew Brandt, investigador principal de Sophos, reveló en un informe que los atacantes pudieron haber aprovechado el conjunto de vulnerabilidades de ProxyLogon. Ellos usaron ProxyLogon para llegar a las máquinas en la red.
Las vulnerabilidades de ProxyLogon han sido ampliamente publicitadas cuando los ciberdelincuentes aprovecharon la ocasión y comenzaron a escanear la web en busca de dispositivos vulnerables. Posteriormente comenzaron a comprometer los sistemas.
Debido a la gravedad crÃtica, las organizaciones de todo el mundo se apresuraron a instalar los parches. Y, en menos de un mes, aproximadamente el 92% de los servidores Microsoft Exchange locales vulnerables recibieron la actualización.
Conjunto de herramientas único
Epsilon Red está escrito en Golang (Go) y está precedido por un conjunto de scripts de PowerShell únicos. Estos scripts preparan el terreno para la rutina de cifrado de archivos, cada uno con un propósito especÃfico:
- Eliminar procesos y servicios para herramientas de seguridad, bases de datos, programas de respaldo, aplicaciones de Office, clientes de correo electrónico
- Eliminar instantáneas de volumen
- Robar el archivo de Security Account Manager (SAM) que contiene hashes de contraseña
- Eliminar registros de eventos de Windows
- Deshabilitar Windows Defender
- Suspender procesos
- Desinstalar herramientas de seguridad (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
- Ampliar los permisos en el sistema
La mayorÃa de los scripts están numerados del 1 al 12, pero hay algunos que tienen nombres de una sola letra. Uno de ellos, c.ps1, parece ser un clon de la herramienta de prueba de penetración Copy-VSS.
Después de vulnerar la red, los ciberdelincuentes llegan a las máquinas a través de RDP y usan Windows Management Instrumentation (WMI). Ellos utilizan WMI para instalar software y ejecutar scripts de PowerShell que finalmente implementan el ejecutable Epsilon Red.
Los investigadores de Sophos notaron que el actor de amenazas también instala una copia de Remote Utilities. Remote Utilities es un software comercial para actividades de escritorio remoto, y el navegador Tor. Este movimiento es para asegurarse que todavÃa tienen una puerta abierta si pierden el acceso a través del punto de entrada inicial.
Notas de rescate similares a REvil
Peter Mackenzie, gerente del equipo de Sophos Rapid Response afirmó que, aunque esta versión de Epsilon Red no parece ser obra de profesionales, puede causar grandes estragos. El ransomware no tiene restricciones para cifrar los diferentes tipos de archivos y carpetas.
El malware tiene poca funcionalidad aparte de cifrar archivos y carpetas. Sin embargo, incluye código de la herramienta de código abierto godirwalk, una biblioteca para atravesar un árbol de directorios en un sistema de archivos.
Esta funcionalidad permite a Epsilon Red escanear el disco duro y agregar rutas de directorio a una lista de destinos para procesos secundarios que cifran subcarpetas individualmente. Al final, las máquinas infectadas ejecutan una gran cantidad de copias del proceso de ransomware.
El ransomware cifra todo en las carpetas de destino agregando el sufijo “.epsilonred”, sin exceptuar ejecutables o DLL. Esta acción podrÃa dañar programas esenciales o incluso el sistema operativo.
En la forma tÃpica de ransomware, Epsilon Red coloca en cada carpeta procesada la nota de rescate. La nota contiene las instrucciones sobre cómo contactar a los atacantes para negociar un precio de descifrado de datos.
Si las instrucciones parecen familiares es porque los atacantes usan una versión mejorada de la nota de rescate utilizada por el ransomware REvil. Sin embargo, Epsilon Red hizo un esfuerzo por corregir los errores gramaticales y ortográficos originales del grupo ruso.
Origen del grupo de ransomware
Si bien el origen de los ciberdelincuentes sigue siendo desconocido por el momento, está claro de dónde obtuvieron su nombre. Epsilon Red es un personaje poco conocido del universo Marvel, un súper soldado ruso con cuatro tentáculos que puede respirar en el espacio.
A pesar de ser nuevo en el negocio del ransomware, la banda de ransomware Epsilon Red ha atacado a varias empresas. Y, los incidentes están siendo investigados por varias empresas de ciberseguridad.
Los hackers también han ganado algo de dinero. Sophos descubrió que una vÃctima de este grupo de ransomware pagó a los atacantes 4.28 bitcoins el 15 de mayo (alrededor de $210,000).