El nuevo ransomware apunta a servidores imperfectos de Microsoft Exchange

Los investigadores de seguridad han descubierto un nuevo ransomware dirigido a servidores imperfectos de Microsoft Exchange.

Los investigadores descubrieron este nuevo malware, llamado «Epsilon Red», en la naturaleza e inicialmente se dirigieron a las empresas hoteleras estadounidenses. según Sophos. El nombre deriva de un villano un tanto oscuro X-Men – un «super-soldado» supuestamente de origen ruso, que porta cuatro tentáculos mecánicos y una mala actitud.

El malware era la carga útil ejecutable final para la empresa víctima, mientras que todos los demás componentes en las primeras etapas eran un script de PowerShell. Los investigadores dijeron que al menos una víctima pagó un rescate de 4.29 Bitcoins ($ 158,114) el 15 de mayo.

Los investigadores dijeron que el nombre y las herramientas eran exclusivos de este atacante, pero la nota de redención dejada en las computadoras infectadas se asemeja a la nota de redención de REvil con algunas correcciones gramaticales. Agregaron que no hay otras similitudes obvias entre el ransomware Epsilon Red y REvil.

El punto de entrada inicial para el ransomware fue un servidor empresarial Microsoft Exchange.

«No está claro si esto fue provocado por la explotación de ProxyLogon u otra vulnerabilidad, pero parece que la causa principal fue un servidor imperfecto», dijeron los investigadores.

«Desde esa máquina, los atacantes utilizaron WMI para instalar otros programas en máquinas dentro de la red a las que podían acceder desde el servidor Exchange».

El malware llamado RED.exe es un ejecutable de Windows de 64 bits programado en el lenguaje Go, compilado con la herramienta MinGW y empaquetado con una versión modificada del paquete de tiempo de ejecución UPX.

Epsilon Red no realiza conexiones de red y usa scripts de PowerShell para luego destruir los procesos del sistema antes de eliminar las instantáneas. La mayoría de las escrituras están numeradas del 1 al 12, pero varias se nombran con la misma letra. Uno de ellos, c.ps1, parece ser un clon de la herramienta de prueba de penetración Copy-VSS.

Luego, el ransomware encripta la carpeta, incluidos otros ejecutables y DLL, lo que puede hacer que los programas o todo el sistema funcionen mal si el ransomware encripta la ruta de la carpeta incorrecta. En cada carpeta cifrada, el malware crea una nota de canje con instrucciones sobre cómo ponerse en contacto con los ciberdelincuentes y pagar por el descifrado.

Los investigadores dijeron que, dado que el punto de entrada de este ataque parece haber sido un servidor Exchange vulnerable en la cadena operativa de ProxyLogon, «se insta a los clientes a reparar los servidores Exchange orientados a Internet lo antes posible».

Rate this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio