Epsilon Red Ransomware richt zich op kwetsbare Microsoft Exchange-servers
Cybersecurity-experts hebben een nieuwe aanval ontdekt die zich richt op ondernemingen en bedrijven in de Verenigde Staten. De criminelen vertrouwen op een nieuw stuk ransomware genaamd Epsilon Red. Naar verluidt misbruiken de operators een kwetsbaarheid in Microsoft Exchange-servers om externe toegang te krijgen tot niet-gepatchte systemen. Zodra de Epsilon Red Ransomware is geïmplementeerd, voert het verschillende acties uit die verschillende doelen dienen - dit maakt het gevaarlijker in vergelijking met traditionele ransomware.
De Epsilon Red Ransomware is geschreven in de programmeertaal Go, die de voorkeur heeft van malware-ontwikkelaars die antivirusprogramma's proberen te omzeilen. Het heeft ook de mogelijkheid om PowerShell-scripts op gecompromitteerde systemen te laden en gebruikt een interessante set scripts om de netwerkbeveiliging te verzwakken:
- Verwijder systeemherstelpunten en schaduwvolumekopieën.
- Steelt gehashte wachtwoorden van Security Account Manager.
- Schakelt de Windows Event Log en Windows Defender-services uit.
- Probeert verschillende beveiligingshulpmiddelen uit te schakelen.
- Doodt processen gerelateerd aan databasebeheersoftware.
Het primaire doel van de Epsilon Red Ransomware is natuurlijk om de gegevens van het slachtoffer te versleutelen en vervolgens aan te bieden om een betaalde decoderingstool te verkopen. De criminelen gebruiken een losgeldbericht om hun slachtoffer details te geven - het lijkt erop dat de criminelen een notitie gebruiken die sterk lijkt op die van de REvil Ransomware . Alle vergrendelde bestanden zijn gemarkeerd met het achtervoegsel '.epsilonred'. De criminelen eisen verschillende losgeld - naar verluidt heeft hun portemonnee op 15 mei al een betaling van 4,28 Bitcoin ontvangen, die op dat moment zou kunnen worden omgezet in ongeveer $ 210.000.
Verrassend genoeg steelt de bedrijfsgerichte ransomware geen bestanden voordat ze worden versleuteld, wat betekent dat de criminelen niet dreigen de bestanden van het slachtoffer online te lekken. Epsilon Red Ransomware kan echter zeer destructief zijn, omdat het zich niet richt op specifieke bestandstypen - het versleutelt elk bestand waartoe het toegang heeft, waardoor het systemen en services volledig kan uitschakelen.
Hoewel de Epsilon Red Ransomware niet op het niveau van moderne ransomware lijkt te zijn, is het nog steeds erg gevaarlijk. Slachtoffers kunnen ertegen beschermd blijven door back-ups van hun gegevens te maken, hun software bij te werken en te vertrouwen op betrouwbare antivirussoftware.