Neuartige Epsilon Red Ransomware zielt auf ungepatchte Microsoft Exchange Server ab
Inhaltsverzeichnis:
Die REvil-Bande könnte hinter der brandneuen Malware-Variante stehen, die gezielt Unternehmens-Microsoft-Exchange-Server angreift, um in Firmennetzwerke einzudringen. Die neue Bedrohung stützt sich auf eine Reihe von PowerShell-Skripten, die genutzt werden, um bekannte Schwachstellen für die endgültige Bereitstellung der Nutzlast auszunutzen. Derzeit haben Forscher mindestens einen erfolgreichen Angriff bestätigt, der in einer Lösegeldzahlung von 4,29 BTC (210.000 USD) endete.
Was ist Epsilon Red Ransomware?
Der neue Akteur in der bösartigen Szene wurde von Sophos-Experten Ende Mai 2021 identifiziert, als sie den Angriff auf einen US-amerikanischen Anbieter im Gastgewerbe untersuchten. Die Analyse zeigt, dass Epsilon Red ein recht einfaches 64-Bit-Windows-Executable ist, das in der Go-Sprache codiert ist. Die Funktionalität wird reduziert und nur für Dateiverschlüsselung verwendet, während andere, anspruchsvollere Aufgaben an PowerShell-Skripte ausgelagert werden.
Laut der Sophos-Untersuchungverließen sich die Angreifer auf exponierte Microsoft-Exchange-Server für den ersten Eindringungsversuch. Derzeit ist unklar, ob sie die schädliche Exchange ProxyLogon Exploitnutzten. Dennoch bestätigt die Untersuchung, dass der Ziel-Server definitiv dafür anfällig war. Nachdem sie ins Netzwerk eingedrungen waren, nutzten die Eindringlinge Windows Management Instrumentation (WMI) Werkzeuge, um andere Software auf Maschinen zu platzieren, die vom Exchange-Server aus erreichbar waren.
Um den Angriff fortzusetzen, nutzten die Bedrohungsakteure mehr als ein Dutzend PowerShell-Skripte, die die Zielumgebung für die Ransomware-Nutzlast vorbereiten sowie die Epsilon Red-Executable pushen und initiieren. Bemerkenswerterweise ist der Verschleierungsmechanismus dieser PowerShell-Skripte ziemlich schwach und rudimentär. Dennoch reicht er aus, um die Erkennung durch beliebte Antivirenlösungen zu umgehen.
Sicherheitsexperten vermuten, dass die berüchtigte REvil-Bande hinter der Entwicklung von Epsilon Red steckt. Der Hauptanlass für diese Annahme ist die Lösegeldforderung, die auf den kompromittierten Instanzen auftaucht. Sie ähnelt der, die von REvil Ransomware hinterlassen wurde, jedoch mit einigen Ergänzungen und grammatikalischen Aktualisierungen. Abgesehen von der Lösegeldforderung hat Epsilon Red nichts mit REvil gemein, mit einzigartigen Werkzeugen und Taktiken, die bei den Angriffen angewendet werden.
Epsilon Red Erkennung
Um Ihre Unternehmensinfrastruktur zu schützen und mögliche Epsilon Red Infektionen zu verhindern, können Sie eine Community-Sigma-Regel herunterladen, die von unserem produktiven Threat Bounty Entwickler Sittikorn Sangrattanapitak.
https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma
Die Regel ist in die folgenden Sprachen übersetzt:
SIEM: Azure Sentinel, ELK Stack
MITRE ATT&CK:
Taktiken: Aufklärung, Ausführung
Techniken: Aktives Scanning (T1595), Befehls- und Skript-Interpreter (T1059)
Da der erste Infektionsvektor vermutlich ein Microsoft Exchange Server ist, der anfällig für den ProxyLogon Exploit ist, empfehlen wir den Administratoren dringend, ihre Installationen so schnell wie möglich auf die neueste sichere Version zu aktualisieren. Benutzer des Threat Detection Marketplace können auch ein Set von Sigma-Regeln zur ProxyLogon-Erkennung nutzen, um bestehende Sicherheitslücken zu identifizieren.
Suchen Sie nach mehr Bedrohungserkennungsinhalten? Melden Sie sich kostenlos im Threat Detection Marketplace an und greifen Sie auf über 100.000 kuratierte SOC-Inhalte zu, die die neuesten Angriffe adressieren und auf Ihre Umgebung zugeschnitten sind. Sind Sie daran interessiert, Ihre eigenen Sigma-Regeln zu erstellen? Treten Sie unserem Threat Bounty Programm bei und erhalten Sie wiederkehrende Belohnungen für Ihre Beiträge!
