Epsilon Red – Ransomware

A Sophos kutatói azonosítottak egy  Epsilon Red–nek nevezett zsarolóvírust amely nagyban hasonlít a REvil ransomware egyes részeihez, de nem tartalmaz nyelvtani hibákat és, „jobban van megírva”.

A Go nyelven írt zsarolóvírus kis méretű fájlt tartalmaz, amelyet a fájlok átvizsgálásra terveztek, de már ez a futtatható fájl képes a zsaroláshoz szükséges titkosítás végrehajtására. A további feladatokat néhány PowerShell-parancs hajtja végre, amelyek felkészítik a gépet a végső titkosításra. Ezeket a PowerShell-szkripteket úgy programozták, hogy módosítsák a tűzfalszabályokat, hogy lehetővé tegyék a támadók távoli kapcsolatait, letiltsák azokat a folyamatokat, amelyek megakadályozhatják a titkosítást, töröljék a biztonsági másolatok készítést, hogy megakadályozzák a titkosított fájlok helyreállítását, töröljék eseménynaplót és hogy magasabb szintű hozzáférést szerezzenek a támadok.

A Sophos által észlelt támadás hozzáférési pontja valószínűleg a Microsoft Exchange ismert ProxyLogon sérülékenysége. A Sophos kutatói szerint az Epsilon Red egy orosz eredetű X-Men személytől származik.

FORRÁS