Blog

Le nouveau ransomware Epsilon Red poursuit les serveurs Microsoft Exchange non corrigés – Un serveur de qualité

Le 29 mai 2021 , mis à jour le 4 septembre 2021 - 5 minutes de lecture

[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]

Le ransomware Epsilon Red cible les serveurs Microsoft Exchange

Une nouvelle menace contre les ransomwares appelée Red Epsilon a été vue en train d'exploiter les vulnérabilités des serveurs Microsoft Exchange pour crypter les ordinateurs du réseau.

Les attaques de ransomwares Epsilon Red reposent sur plus d'une douzaine de scripts avant d'atteindre l'étape de cryptage, et utilisent également un outil de bureau à distance commercial.

Frappe le serveur Microsoft Exchange vulnérable

Les intervenants de la société de cybersécurité Sophos ont découvert le nouveau ransomware Epsilon Red la semaine dernière alors qu'ils enquêtaient sur une attaque contre une assez grande entreprise américaine du secteur de l'hôtellerie.

Les chercheurs ont découvert que l'acteur de la menace avait cassé le réseau de l'entreprise en exploitant des vulnérabilités non corrigées sur le serveur Microsoft Exchange local.

Andrew Brandt, chercheur principal chez Sophos, affirme dans un rapport publié aujourd'hui que les attaquants ont peut-être exploité l'ensemble de vulnérabilités ProxyLogon pour atteindre les machines du réseau.

Les erreurs ProxyLogon ont été largement diffusées, car les pirates ont sauté sur l'occasion et ont commencé à rechercher sur le Web des appareils vulnérables et des systèmes compromettants.

En raison de la gravité critique, les organisations du monde entier se sont précipitées pour installer les mises à jour et, en moins d'un mois, environ 92% des serveurs Microsoft Exchange locaux vulnérables ont reçu la mise à jour.

Ensemble d'outils unique

Epsilon Red est écrit en Golang (Go) et est précédé d'un ensemble de scripts PowerShell uniques qui préparent le terrain pour la routine de chiffrement de fichiers, chacun avec un objectif spécifique:

  • tuer les processus et services pour les outils de sécurité, les bases de données, les applications de sauvegarde, les applications Office, les clients de messagerie
  • supprimer les clichés instantanés de volume
  • voler le fichier SAMSUN (Security Account Manager) qui contient le hachage du mot de passe
  • supprimer les journaux d'événements Windows
  • désactiver Windows Defender
  • suspendre les processus
  • désinstaller les outils de sécurité (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
  • étendre les autorisations au système

La plupart des scripts sont numérotés de 1 à 12, mais il y en a quelques-uns qui sont nommés comme une seule lettre. L'un d'eux, c.ps1, semble être un clone de l'outil de pénétration Copy-VSS.

Après avoir rompu le réseau, les pirates atteignent les machines via RDP et utilisent Windows Management Instrumentation (WMI) pour installer des logiciels et exécuter des scripts PowerShell qui déploient éventuellement des exécutables Epsilon Red.

Les chercheurs de Sophos ont remarqué que l'acteur de la menace installe également une copie de Remote Utilities – un logiciel de bureau à distance commercial et le navigateur Tor. Cette fonction permet de s'assurer qu'ils ont toujours une porte ouverte s'ils perdent l'accès par le premier point d'entrée.

Modèle de rançon REvil

Peter Mackenzie, chef de l'équipe Sophos Rapid Response, a déclaré à BleepingComputer que, bien que cette version d'Epsilon Red ne semble pas être professionnelle, elle peut conduire à un désordre car elle ne comporte aucune restriction sur le cryptage des types de fichiers et des dossiers.

Le malware a peu de fonctionnalités autres que le cryptage des fichiers et des dossiers, mais il inclut le code de l'outil open source godirwalk, une bibliothèque permettant de traverser une arborescence de répertoires sur un système de fichiers.

Cette fonctionnalité permet à Epsilon Red d'analyser le disque dur et d'ajouter des chemins de répertoire à une liste de destinations de sous-processus qui chiffrent les sous-dossiers individuellement. Enfin, les machines infectées exécuteront un grand nombre de copies du processus de ransomware.

Il crypte tout dans les dossiers ciblés qui ajoutent le suffixe ".epsilonred", sans enregistrer les exécutables ou les DLL qui peuvent corrompre des programmes importants ou même le système d'exploitation.

De la manière habituelle en guise de rançon, Epsilon Red libère dans le solvant chaque dossier traité avec des instructions sur la manière de contacter les attaquants pour négocier un prix de cryptage des données.

Si les instructions vous semblent familières, c'est parce que les attaquants utilisent une version écrite de la rançon utilisée par le ransomware REvil. Cependant, Epsilon Red a tenté de corriger les fautes de grammaire et d'orthographe originales du gang russe.

Epsilon Red utilise une rançon REvil modifiée

Bien que l'origine des hackers soit encore inconnue pour le moment, il est clair d'où ils tirent leur nom. Epsilon Red est un personnage peu connu de l'univers Marvel, un super-soldat russe aux quatre tentacules capable de respirer dans l'espace.

Bien qu'il soit nouveau dans le secteur des rançons, le gang des rançons Epsilon Red a attaqué plusieurs entreprises et les incidents font actuellement l'objet d'enquêtes par plusieurs sociétés de cybersécurité.

Les hackers ont également fait de l'argent. Sophos a découvert qu'une victime de cette menace de rançon avait payé aux attaquants 4,28 BTC le 15 mai (environ 210000 $).