Epsilon Red Ransomware Targets Vulnerable Microsoft Exchange Servers
Os especialistas em segurança cibernética descobriram um novo ataque, que visa empresas e empresas com sede nos Estados Unidos. Os criminosos estão contando com um novo ransomware denominado Epsilon Red. Supostamente, seus operadores estão abusando de uma vulnerabilidade nos servidores Microsoft Exchange para obter acesso remoto a sistemas sem patch. Depois que o Epsilon Red Ransomware é implantado, ele executa várias ações, que atendem a vários propósitos - o que o torna mais perigoso em comparação com o ransomware tradicional.
O Epsilon Red Ransomware é escrito na linguagem de programação Go, que é a preferida por desenvolvedores de malware que tentam escapar das ferramentas antivírus. Ele também tem a capacidade de carregar scripts do PowerShell em sistemas comprometidos e usa um conjunto interessante de scripts para enfraquecer a segurança da rede:
- Exclua pontos de restauração do sistema e cópias de volumes de sombra.
- Rouba senhas com hash do gerente de contas de segurança.
- Desativa o Log de Eventos do Windows e os serviços do Windows Defender.
- Tenta desativar várias ferramentas de segurança.
- Mata processos relacionados ao software de gerenciamento de banco de dados.
Claro, o objetivo principal do Epsilon Red Ransomware é criptografar os dados da vítima e, em seguida, oferecer a venda de uma ferramenta de descriptografia paga. Os criminosos estão usando uma mensagem de resgate para fornecer detalhes à vítima - parece que os criminosos estão usando uma nota, que é muito semelhante à usada pelo REvil Ransomware . Todos os arquivos bloqueados são marcados com o sufixo de nome '.epsilonred'. Os criminosos exigem várias taxas de resgate - supostamente, sua carteira já recebeu um pagamento de 4,28 Bitcoin em 15 de maio, que poderia ser convertido para cerca de $ 210.000 na época.
Surpreendentemente, o ransomware empresarial não rouba arquivos antes de criptografá-los, o que significa que os criminosos não ameaçam vazar os arquivos da vítima online. No entanto, o Epsilon Red Ransomware tem a capacidade de ser muito destrutivo, uma vez que não visa a tipos específicos de arquivos - ele criptografa qualquer arquivo que possa acessar, o que pode permitir a desativação total de sistemas e serviços.
Embora o Epsilon Red Ransomware não pareça estar no nível de um ransomware moderno, ele ainda é muito perigoso. As vítimas podem ficar protegidas dele mantendo backups de seus dados, atualizando seu software e contando com um software antivírus confiável.