Epsilon Red написан на языке Golang и содержит набор уникальных PowerShell-скриптов для подготовки к шифрованию.

Операторы нового вымогательского ПО под названием Red Epsilon используют уязвимости в серверах Microsoft Exchange для взлома компьютерных систем и шифрования данных. Специалисты из ИБ-компании Sophos обнаружили новый вредонос во время расследования атаки на неназванную крупную американскую компанию в сфере гостеприимства. Злоумышленники проникли в корпоративную сеть, используя уязвимости в локальном сервере Microsoft Exchange. Эксперты в настоящее время не знают, эксплуатировали ли хакеры уязвимости ProxyLogon для доступа к устройствам.

Epsilon Red написан на языке Golang (Go) и содержит набор уникальных PowerShell-скриптов, которые подготавливают устройство для процедуры шифрования файлов. Скрипты способны отключать процессы и службы защитных решений, баз данных, программ резервного копирования, приложений Office и почтовых клиентов, удалять Volume Shadow Copies, похищать файл Security Account Manager (SAM) с хешами паролей, удалять логи событий Windows, отключать Защитника Windows, повышать привилегии на системе и пр.

Большинство скриптов пронумерованы от 1 до 12, но есть несколько, которые названы одной буквой. Один из них, c.ps1, похоже, является клоном инструмента тестирования на проникновение Copy-VSS.

После взлома сети хакеры получают доступ к компьютерам через Remote Desktop Protocol (RDP) и используют инструментарий управления Windows (WMI) для установки программного обеспечения и запуска PowerShell-скриптов. Исследователи Sophos заметили, что злоумышленники также устанавливают браузер Tor и копию коммерческого программного обеспечения для операций с удаленными рабочими столами Remote Utilities.

Вымогатель шифрует все данные в целевых папках, добавляя расширение .epsilonred, не щадя исполняемые файлы или DLL-библиотеки, которые могут нарушить работу важных программ или даже операционной системы.

Хотя название и инструменты являются уникальными для данного злоумышленника, записка о выкупе на зараженных компьютерах похожа на записку, которую оставляет группировка REvil. Однако в записке Epsilon Red внесено несколько незначительных грамматических исправлений. Других сходств между программой-вымогателем Epsilon Red и REvil не было выявлено.

По результатам анализа адреса криптовалютного кошелька злоумышленников стало известно, что по крайней мере одна из жертв заплатила 15 мая нынешнего года выкуп в размере 4,29 биткойнов (примерно $210 тыс.).

Источник: securitylab