Le nouveau ransomware Epsilon Red cible les serveurs Microsoft Exchange non corrigés
Table des matières :
Le groupe REvil pourrait être derrière la toute nouvelle variante de malware qui attaque explicitement les serveurs Microsoft Exchange d’entreprise pour pénétrer les réseaux d’entreprise. La nouvelle menace s’appuie sur un lot de scripts PowerShell armés pour exploiter des vulnérabilités connues afin de livrer la charge utile finale. Actuellement, les chercheurs ont confirmé qu’au moins une attaque réussie s’est soldée par un paiement de rançon de 4,29BTC (210 000 $).
Qu’est-ce que le ransomware Epsilon Red ?
Le nouveau venu dans l’arène malveillante a été identifié par des experts de Sophos à la fin mai 2021 lors de l’enquête sur l’attaque contre un prestataire d’hospitalité basé aux États-Unis. L’analyse révèle qu’Epsilon Red est un exécutable Windows 64 bits assez simple codé en langage Go. La fonctionnalité est limitée et utilisée uniquement pour le chiffrement des fichiers, tandis que d’autres tâches plus sophistiquées sont confiées aux scripts PowerShell.
Selon l enquête de Sophos, les adversaires se sont appuyés sur des serveurs Microsoft Exchange exposés pour l’intrusion initiale. Actuellement, il n’est pas clair s’ils ont utilisé l’exploitation néfaste de ProxyLogon sur Exchange. Pourtant, l’enquête confirme que le serveur ciblé était définitivement vulnérable. Après avoir pénétré le réseau, les intrus ont utilisé les outils Windows Management Instrumentation (WMI) pour déposer d’autres logiciels sur les machines accessibles depuis le serveur Exchange.
Pour poursuivre l’attaque, les acteurs malveillants ont utilisé plus d’une douzaine de scripts PowerShell, qui préparent l’environnement ciblé pour la charge utile du ransomware ainsi que pour pousser et initier l’exécutable Epsilon Red. Notamment, le mécanisme d’obfuscation de ces scripts PowerShell est plutôt faible et rudimentaire. Néanmoins, il est suffisant pour échapper à la détection par les solutions antivirus populaires.
Les experts en sécurité suspectent que le célèbre groupe REvil pourrait être derrière le développement d’Epsilon Red. L’élément clé de cette hypothèse est la note de rançon apparaissant sur les instances compromises. Elle ressemble à celle laissée par le ransomware REvil, mais avec quelques ajouts et mises à jour grammaticales. Mis à part la note de rançon, Epsilon Red n’a rien en commun avec REvil, avec des outils et des tactiques uniques appliqués à travers les attaques.
Détection d’Epsilon Red
Pour protéger l’infrastructure de votre entreprise et prévenir les infections possibles d’Epsilon Red, vous pouvez télécharger une règle Sigma communautaire publiée par notre développeur prolifique de Threat Bounty Sittikorn Sangrattanapitak
https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma
La règle est traduite dans les langues suivantes :
SIEM : Azure Sentinel, ELK Stack
MITRE ATT&CK:
Tactiques : Reconnaissance, Exécution
Techniques : Balayage Actif (T1595), Interpréteur de Commandes et Scripts (T1059)
Puisque le vecteur d’infection initial est suspecté d’être un serveur Microsoft Exchange vulnérable à l’exploitation ProxyLogon, nous recommandons fortement aux administrateurs de mettre à jour leurs installations vers la dernière version sécurisée dès que possible. De plus, les utilisateurs du Threat Detection Marketplace peuvent accéder à un ensemble de règles Sigma destinées à la détection de ProxyLogon pour identifier les failles de sécurité existantes.
Vous cherchez plus de contenu de détection des menaces ? Inscrivez-vous gratuitement au Threat Detection Marketplace et accédez à plus de 100 000 éléments de contenu SOC sélectionnés abordant les dernières attaques et personnalisés pour votre environnement. Vous souhaitez créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et obtenez des récompenses récurrentes pour vos contributions !
