Epsilon Red Ransomware prende di mira i server Microsoft Exchange vulnerabili
Gli esperti di sicurezza informatica hanno scoperto un nuovo attacco, che prende di mira imprese e società con sede negli Stati Uniti. I criminali si affidano a un nuovo ransomware chiamato Epsilon Red. Presumibilmente, i suoi operatori stanno abusando di una vulnerabilità nei server di Microsoft Exchange per ottenere l'accesso remoto a sistemi privi di patch. Una volta che Epsilon Red Ransomware viene distribuito, esegue diverse azioni, che soddisfano vari scopi: questo lo rende più pericoloso rispetto al ransomware tradizionale.
Epsilon Red Ransomware è scritto nel linguaggio di programmazione Go, preferito dagli sviluppatori di malware che cercano di eludere gli strumenti antivirus. Ha anche la capacità di caricare script di PowerShell su sistemi compromessi e utilizza un interessante set di script per indebolire la sicurezza della rete:
- Elimina i punti di ripristino del sistema e le copie shadow del volume.
- Ruba le password con hash dal Security Account Manager.
- Disabilita il registro eventi di Windows e i servizi di Windows Defender.
- Tenta di disabilitare vari strumenti di sicurezza.
- Elimina i processi relativi al software di gestione del database.
Ovviamente, lo scopo principale di Epsilon Red Ransomware è crittografare i dati della vittima e quindi offrirsi di vendere uno strumento di decrittazione a pagamento. I criminali stanno usando un messaggio di riscatto per fornire alla vittima i dettagli: sembra che i criminali stiano usando una nota, che è molto simile a quella usata da REvil Ransomware . Tutti i file bloccati sono contrassegnati con il suffisso del nome ".epsilonred". I criminali chiedono varie commissioni di riscatto: presumibilmente, il loro portafoglio ha già ricevuto un pagamento di 4,28 Bitcoin il 15 maggio, che all'epoca potrebbe essere convertito a circa $ 210.000.
Sorprendentemente, il ransomware orientato all'azienda non ruba i file prima di crittografarli, il che significa che i criminali non minacciano di far trapelare i file della vittima online. Tuttavia, Epsilon Red Ransomware ha la capacità di essere molto distruttivo poiché non prende di mira tipi specifici di file: crittografa qualsiasi file a cui può accedere, il che potrebbe consentirgli di disabilitare completamente sistemi e servizi.
Sebbene Epsilon Red Ransomware non sembri essere al livello del ransomware moderno, è comunque molto pericoloso. Le vittime possono rimanere protette mantenendo i backup dei propri dati, aggiornando il proprio software e facendo affidamento su un affidabile software antivirus.