Sophos ha descubierto una nueva forma de ransomware denominada “Epsilon Red” dirigida a servidores Exchange de Microsoft.
Investigadores de seguridad de Sophos anunciaron el viernes 28 de mayo la detección de un nuevo ransomware luego de un ataque exitoso contra una empresa estadounidense del sector hotelero. Entregado como carga útil ejecutable final en un ataque controlado manualmente, el ransomware exigía un pago de 4,29 bitcoin, valorado en ese momento en unos 210.000 dólares.
Según Sophos, el nombre y las herramientas del ataque de ransomware eran exclusivos de los atacantes. Aunque la nota de rescate se parecía al mensaje estándar dejado por la conocida banda de ransomware REvil, había cambios gramaticales.
La puerta de entrada era un servidor empresarial de Microsoft Exchange. “No está claro si esto fue habilitado por el exploit ProxyLogon o por otra vulnerabilidad, pero es probable que la causa raíz fuera un servidor sin parches”, explicaron los investigadores de Sophos. “Desde esa máquina, los atacantes utilizaron WMI para instalar otro software en máquinas dentro de la red a las que podían acceder desde el servidor Exchange”.
El nombre de Epsilon Red es una referencia a un personaje de los cómics de X-Men.
Epsilon Red está escrito en Golang (Go), un lenguaje de programación de código abierto que se describe como fácil de usar para construir software sencillo, fiable y eficiente. Precedido por PowerScripts que preparan el objetivo, el ransomware tiene múltiples etapas.
Comienza por eliminar los procesos y servicios de las herramientas de seguridad, las bases de datos, los programas de copia de seguridad, las aplicaciones de Microsoft Office y los clientes de correo electrónico, el ransomware borra todas las Volume Shadow Copies. A continuación, el ransomware roba el archivo del Administrador de Cuentas de Seguridad que contiene los hash de las contraseñas, elimina los registros de eventos de Windows y desactiva Windows Defender. Por último, suspende los procesos, desinstala las herramientas de seguridad y amplía los permisos del sistema.
Tras deshacerse de cualquier impedimento, Epsilon Red utiliza Windows Management Instrumentation para instalar software y ejecutar scripts de PowerShell que luego despliegan el ejecutable principal del ransomware.
El resto del proceso no supone ninguna sorpresa. El ejecutable cifra los archivos y roba los datos, se informa a las víctimas del ataque y se exige el pago de un rescate.
“Como el punto de entrada de este ataque parece haber sido un servidor Exchange vulnerable a la cadena de exploits ProxyLogon, se recomienda a los clientes que parcheen los servidores Exchange orientados a Internet lo antes posible”, concluyen los investigadores.