Gli analisti di Sophos hanno scoperto un nuovo ransomware, denominato Epsilon Red, che scarica la maggior parte delle sue funzionalità su una cache di script PowerShell e colpisce i server Exchange ancora vulnerabili.
Scritto nel linguaggio di programmazione Go, Epsilon Red è stato consegnato come payload eseguibile finale in un attacco controllato manualmente contro un’azienda con sede negli Stati Uniti nel settore dell’hospitality in cui ogni altro componente nella fase iniziale era uno script PowerShell.
Il punto di ingresso iniziale degli aggressori sembrerebbe essere stato un server Microsoft Exchange. Non è chiaro se questo sia stato abilitato dall’exploit ProxyLogon o da un’altra vulnerabilità, ma è probabile che la causa principale fosse un server senza patch da cui gli aggressori hanno utilizzato WMI per installare altro software su macchine all’interno della rete che potevano raggiungere dal server Exchange.
Durante l’attacco, gli autori delle minacce hanno lanciato una serie di script PowerShell, numerati da 1.ps1 a 12.ps1 (oltre ad alcuni che sono stati nominati con una sola lettera dell’alfabeto), che hanno preparato le macchine attaccate per il payload finale del ransomware e, infine, consegnato e avviato.
Anche la stessa orchestrazione di PowerShell è stata creata e attivata da uno script PowerShell denominato RED.ps1 che è stato eseguito sui computer di destinazione tramite WMI.
Non è chiaro se gli aggressori fossero solo meticolosi o se non fossero sicuri di poter fare ciò che si erano prefissati di fare, ma in diversi casi gli script emettono comandi ridondanti per raggiungere lo stesso obiettivo utilizzando metodi leggermente diversi.
Questi script eseguono una serie di azioni, tra cui la chiusura di processi e servizi di antivirus, database, app Office e software di backup, la cancellazione delle copie shadow del volume e del log degli eventi di Windows, la disattivazione di Microsoft Defender e la disinstallazione di varie soluzioni di sicurezza.
Gli attaccanti entrano quindi nella rete con Remote Desktop Protocol e usano WMI (Windows Management Instrumentation) per installare software ed eseguire gli script PowerShell. Una volta completata la cifratura dei file, la vittima riceve le istruzioni per contattare gli autori dell’attacco.
Sophos ha scoperto che, secondo l’indirizzo di criptovaluta fornito dagli aggressori, almeno una delle vittime ha pagato un riscatto di 4.29 Bitcoin il 15 maggio, corrispondenti al valore di circa $ 210.000.
https://news.sophos.com/en-us/2021/05/28/epsilonred/
