El novedoso ransomware Epsilon Red apunta a servidores Microsoft Exchange sin parches
Tabla de contenidos:
La banda REvil puede estar detrás de la nueva variante de malware que ataca explícitamente a servidores Microsoft Exchange empresariales para penetrar redes corporativas. La nueva amenaza se basa en un conjunto de scripts PowerShell armados para explotar vulnerabilidades conocidas para la entrega final de la carga útil. Actualmente, los investigadores confirmaron que al menos un ataque exitoso terminó en un pago de rescate de 4.29BTC ($210,000).
¿Qué es el ransomware Epsilon Red?
El nuevo jugador en la arena maliciosa fue identificado por expertos de Sophos a finales de mayo de 2021 mientras investigaban el ataque contra un proveedor de hospitalidad con sede en EE. UU. El análisis revela que Epsilon Red es un ejecutable de Windows de 64 bits bastante simple, codificado en lenguaje Go. La funcionalidad está limitada y se utiliza solo para el cifrado de archivos, mientras que otras tareas más sofisticadas se delegan a scripts PowerShell.
De acuerdo con la investigación de Sophos, los adversarios se basaron en servidores Microsoft Exchange expuestos para la intrusión inicial. Actualmente, no está claro si utilizaron el nefasto exploit Exchange ProxyLogon. Sin embargo, la investigación confirma que el servidor atacado era definitivamente vulnerable a él. Después de ingresar a la red, los intrusos utilizaron herramientas de Instrumentación de Administración de Windows (WMI) para implementar otro software en las máquinas accesibles desde el servidor Exchange.
Para proceder con el ataque, los actores de la amenaza utilizaron más de una docena de scripts PowerShell, los cuales preparan el entorno objetivo para la carga útil del ransomware y también empujan e inician el ejecutable Epsilon Red. Notablemente, el mecanismo de ofuscación para estos scripts PowerShell es bastante débil y rudimentario. Sin embargo, es suficiente para evadir la detección con soluciones antivirus populares.
Los expertos en seguridad sospechan que la infame banda REvil podría estar detrás del desarrollo de Epsilon Red. La pista clave para esta suposición es la nota de rescate que aparece en las instancias comprometidas. Se asemeja a la dejada atrás por el ransomware REvil, pero con algunas adiciones y actualizaciones gramaticales. Aparte de la nota de rescate, Epsilon Red no tiene nada en común con REvil, aplicando herramientas y tácticas únicas a lo largo de los ataques.
Detección de Epsilon Red
Para proteger la infraestructura de su empresa y prevenir posibles infecciones de Epsilon Red, puede descargar una regla Sigma comunitaria publicada por nuestro prolífico desarrollador de Threat Bounty Sittikorn Sangrattanapitak.
https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma
La regla tiene traducciones a los siguientes idiomas:
SIEM: Azure Sentinel, ELK Stack
MITRE ATT&CK:
Tácticas: Reconocimiento, Ejecución
Técnicas: Escaneo Activo (T1595), Intérprete de Comandos y Scripts (T1059)
Dado que se sospecha que el vector inicial de infección es un servidor Microsoft Exchange vulnerable al exploit ProxyLogon, recomendamos encarecidamente a los administradores actualizar sus instalaciones a la última versión segura lo antes posible. Además, los usuarios de Threat Detection Marketplace podrían acceder a un conjunto de reglas Sigma dirigidas a la detección de ProxyLogon para identificar agujeros de seguridad existentes.
¿Busca más contenido de detección de amenazas? Regístrese en el Mercado de Detección de Amenazas de forma gratuita y acceda a más de 100K elementos de contenido SOC seleccionados que abordan los ataques más recientes y están personalizados para su entorno. ¿Desea crear sus propias reglas Sigma? ¡Únase a nuestro Programa Threat Bounty y reciba recompensas recurrentes por su aporte!
