Sophos News anuncia - ‎Un nuevo ransomware entra en la refriega: Epsilon Red‎

66 views

‎En la última semana, los analistas de Sophos descubrieron un nuevo ransomware escrito en el lenguaje de programación Go que se hace llamar ‎‎Epsilon Red‎‎. El malware se entregó como la carga útil ejecutable final en un ataque controlado a mano contra un negocio con sede en Estados Unidos en la industria de la hospitalidad en el que cada otro componente de etapa temprana era un script de PowerShell. ‎ 

‎Basado en la dirección criptomoneda proporcionada por los atacantes, parece que al menos una de sus víctimas pagó un rescate de 4.29BTC el 15‎‎de‎‎ mayo‎‎ (valorado en aproximadamente $ 210,000 en esa fecha).‎

‎Mientras que el nombre y las herramientas eran únicas para este atacante, la nota de rescate dejado atrás en los ordenadores infectados se asemeja a la nota dejada por ‎‎ ‎‎REvil ‎‎ ‎‎ransomware, pero añade algunas correcciones gramaticales menores. No había otras similitudes obvias entre el ransomware Epsilon Red y ‎‎ ‎‎REvil‎‎.‎ 

‎Parece que un servidor de Microsoft Exchange empresarial fue el punto inicial de entrada de los atacantes en la red empresarial. No está claro si esto fue habilitado por el exploit ProxyLogon u otra vulnerabilidad, pero parece probable que la causa raíz fuera un servidor sin parches. Desde ese equipo, los atacantes utilizaron WMI para instalar otro software en equipos dentro de la red a los que podían llegar desde el servidor de Exchange.‎ 

 

Puertos de firewall bloqueados y limpieza de pistas‎ 

‎El script red.ps1 desempaqueta RED.7z en el directorio %SYSTEM%\RED y, a continuación, crea tareas programadas que ejecutan los scripts desempaquetados. Pero luego espera una hora y ejecuta comandos que modifican las reglas de Firewall de Windows de modo que el firewall bloquee las conexiones entrantes en todos los puertos TCP ‎‎excepto‎‎ ‎‎3389/tcp‎‎ del Protocolo de Escritorio remoto y el puerto de comunicaciones utilizado por ‎‎una herramienta comercial llamada Utilidades remotas,‎‎ ‎‎5650/tcp.‎ 

 

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.