Эксперты компании Sophos обнаружили вымогателя Epsilon Red, который использует уязвимости серверов Microsoft Exchange для атак на другие машины в сети. Специалисты пишут, что работа вредоноса строится на множестве разных скриптов, а также операторы Epsilon Red используют в атаках коммерческую утилиту удаленного доступа.

Epsilon Red  был обнаружен на прошлой неделе, во время расследования атаки на неназванную американскую компанию, работающую в сфере гостиничного бизнеса. Злоумышленники проникли в корпоративную сеть, используя уязвимости в локальном сервере Microsoft Exchange. Речь, конечно, идет о нашумевших проблемах ProxyLogon, обнаруженных в начале 2021 года.

Сообщается, что Epsilon Red написан на языке Golang (Go), а запуск самой малвари предваряет работа целого набора PowerShell-скриптов, которые подготавливают почву для шифрования. Большинство скриптов пронумерованы от 1 до 12, но есть несколько, которые названы одной буквой. Один из них, c.ps1, судя по всему, представляет собой клон пентестерского инструмента Copy-VSS.

Каждый из скриптов имеет определенную цель:

  • ликвидировать процессы и службы механизмов безопасности, баз данных, программ резервного копирования, приложений Office, почтовых клиентов;
  • удалить теневые копии;
  • похитить файл Security Account Manager (SAM), содержащий хеши паролей;
  • удалить журналы событий Windows;
  • отключить Windows Defender;
  • приостановить процессы;
  • удалить защитные продукты (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot);
  • расширить привилегии в системе.

Проникнув в сеть, хакеры добираются до других машин с помощью RDP и Windows Management Instrumentation (WMI), а затем устанавливают на них ПО и PowerShell-скрипты, что в конечном итоге приводит к запуску исполняемого файла Epsilon Red.

Аналитики отмечают, что злоумышленники устанавливают на скомпрометированные машины копию Remote Utilities, коммерческого инструмента для работы с удаленными рабочими столами, а также браузер Tor. Этот делается для сохранения устойчивого присутствия в системе.

Атака Epsilon Red может спровоцировать настоящий хаос в компании, так как шифровальщик не имеет ограничений на шифрование определенных типов файлов и папок. Вредонос шифрует любые файлы, добавляя к ним расширение .epsilonred, и не делает исключений даже для исполняемых файлов и библиотек DLL, что может нарушить работу важных программ и самой ОС.

Малварь вообще использует опенсорсную библиотеку godirwalk для просмотра дерева каталогов. Таким образом Epsilon Red сканирует жесткий диск и добавляет пути к каталогам в список мест назначения для дочерних процессов, которые шифруют вложенные папки по отдельности. В итоге на зараженных машинах запускается множество копий процесса вымогателя.

Записка с требованием выкупа представляет собой  обновленную версию записки о выкупе, используемой вымогателем REvil. Однако авторы Epsilon Red постаралась исправить в тексте грамматические и орфографические ошибки.

По данным Sophos, как минимум одна жертва вымогателей уже заплатила злоумышленникам выкуп в размере 4,28 BTC (около 210 000 долларов США).

Хотя по поводу атрибуции малвари эксперты пока не пишут ничего, стоит отметить, что Epsilon Red — персонаж вселенной Marvel, русский суперсолдат со щупальцами, способный дышать в космосе.

Оставить мнение