La cyber-sécurité les chercheurs ont été témoins d’une souche de Windows jamais vue auparavant ransomware qui a pu compromettre un Microsoft Exchange non corrigé e-mail serveur et se frayer un chemin dans les réseaux d’une entreprise hôtelière basée aux États-Unis.
Dans un article détaillé, les analystes de Sophos ont révélé que le ransomware écrit dans le langage de programmation Go s’appelle Epsilon Red.
Basé sur crypto-monnaie adresse fournie par les attaquants, Sophos estime qu’au moins une des victimes de l’Epsilon Red a payé une rançon de 4,29 BTC le 15 mai, soit environ 210000 $.
Nous examinons comment nos lecteurs utilisent VPN pour un prochain rapport détaillé. Nous aimerions connaître votre opinion dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.
>> Cliquez ici pour démarrer l’enquête dans une nouvelle fenêtre <
«Il semble qu’un serveur Microsoft Exchange d’entreprise était le point d’entrée initial des attaquants dans le réseau de l’entreprise. Il n’est pas clair si cela a été activé par le ProxyLogon exploit ou une autre vulnérabilité, mais il semble probable que la cause première était un serveur non corrigé », écrit Andrew Brandt, chercheur principal chez Sophos.
Sommaire
Logiciel de rançon PowerShell
Une fois qu’Epsilon Red a fait son chemin dans une machine, il engage Windows Management Instrumentation (WMI) pour installer d’autres logiciels sur n’importe quelle machine du réseau auquel il peut accéder à partir du serveur Exchange.
Sophos partage que pendant l’attaque, les acteurs de la menace lancent une série de scripts PowerShell, pour préparer les machines attaquées au ransomware final. Cela inclut, par exemple, la suppression des clichés instantanés de volume, pour s’assurer que les machines chiffrées ne peuvent pas être restaurées, avant de finalement livrer et de lancer le ransomware lui-même.
Le ransomware lui-même est assez petit et ne crypte vraiment que les fichiers, car tous les autres aspects de l’attaque sont menés par les scripts PowerShell.
Les chercheurs notent que l’exécutable du ransomware contient du code qu’ils ont extrait d’un projet open source appelé godirwalk, afin de scanner le lecteur et de le compiler dans une liste.
L’aspect le plus étrange de toute la campagne est peut-être que la note de rançon d’Epsilon Red «ressemble étroitement» à celle laissée par les acteurs de la menace derrière le ransomware REvil, bien qu’un peu plus grammaticalement raffinée pour donner un sens aux anglophones natifs.
