Epsilon Red Ransomware

新しい攻撃キャンペーンでは、Microsoft Exchangeサーバーの脆弱性を利用して、EpsilonRedという名前のランサムウェアの脅威を展開しています。 Epsilon Red Ransomwareは、米国のホスピタリティ企業に対する攻撃を調査しているときに研究者によって発見されました。ハッカーは、ProxyLogonの一連の脆弱性に依存して、ネットワーク上のマシンに到達すると考えられています。この特定のエクスプロイトのセットは非常に深刻であると見なされ、1か月足らずで、脆弱なオンプレミスのMicrosoft Exchangeサーバーの92％近くに、問題に対処するセキュリティ更新プログラムが適用されたことが示されました。ただし、Epsilon Red Ransomwareキャンペーンが示すように、ハッカーは依然としてセキュリティで保護されていない標的を見つけて悪用しています。

攻撃特性

Epsilon Redが侵害されたシステムに配信され、暗号化ルーチンが実行される前に、攻撃者はかなりの数のスクリプトを配信し、それぞれが異なるタスクを実行します。これらのタスクには、シャドウボリュームコピーの削除、セキュリティ製品、データベース、バックアッププログラムなどに関連するさまざまなプロセスとサービスの強制終了、Windowsイベントログの削除、Windows Defenderの無効化、特定のセキュリティツールの完全なアンインストール、SAM（セキュリティアカウントマネージャー）の盗用が含まれます。 ）パスワードハッシュなどを含むファイル。ドロップされたスクリプトの1つは、Copy-VSSという名前の侵入テストツールのコピーのようです。

ハッカーは、リモートユーティリティという名前の商用リモートアクセスプログラムのコピーと、侵害されたシステム上のTorブラウザも展開します。ハッカーは、これらをバックアップアクセスポイントとして使用することを計画している可能性が高いです。

イプシロンレッドランサムウェアは無差別に暗号化します

Epsilon Red Ransomwareは、Golang（Go）言語で記述されており、プロのマルウェアコーダーの作業で通常見られる洗練された機能を欠いているようです。さらに、Epsilon Redは、改ざんされた場合にシステムクラッシュを引き起こす可能性のある重要な実行可能ファイルやDLLであっても、見つかったファイルを暗号化します。暗号化されたすべてのファイルには、新しい拡張子として元の名前に「.epsilonred」が付加されます。脅威は、ロックされたデータを含む各フォルダーに作成された指示のコピーとともに身代金メモを配信します。

Epsilon Redは、REvilRansomwareの脅威によってドロップされた身代金メモのバリエーションを使用していることに注意してください。主な違いは、Epsilon Redの背後にいるハッカーが、元のメモで見つかった文法とスペルの間違いの一部をクリーンアップするのに時間をかけたことです。

Epsilon Redハッカーは、比較的短時間活動しているにもかかわらず、すでにいくつかの異なるターゲットに対して攻撃キャンペーンを開始しており、当時約21万ドルだった4.28 BTC（ビットコイン）の身代金をすでに集めている可能性があります。