Il nuovo ransomware Epsilon Red prende di mira i server Microsoft Exchange non aggiornati
Indice:
La gang REvil potrebbe essere dietro la nuova variante di malware che attacca esplicitamente i server Microsoft Exchange aziendali per penetrare nelle reti aziendali. La nuova minaccia si basa su un lotto di script PowerShell armati per sfruttare vulnerabilità note per la consegna del payload finale. Attualmente, i ricercatori hanno confermato almeno un attacco riuscito che si è concluso con un pagamento di riscatto di 4,29BTC (210.000$).
Che cos’è il Ransomware Epsilon Red?
Il nuovo giocatore nell’arena malevola è stato identificato dagli esperti di Sophos alla fine di maggio 2021 durante l’indagine sull’attacco contro un fornitore di ospitalità statunitense. L’analisi rivela che Epsilon Red è un eseguibile Windows a 64 bit piuttosto semplice codificato in linguaggio Go. La funzionalità è limitata e usata solo per la crittografia dei file, mentre altre attività più sofisticate sono esternalizzate a script PowerShell.
Secondo l’ indagine di Sophos, gli avversari si sono affidati ai server Microsoft Exchange esposti per l’intrusione iniziale. Attualmente, non è chiaro se abbiano utilizzato il nefasto exploit Exchange ProxyLogon. Tuttavia, l’indagine conferma che il server preso di mira era sicuramente vulnerabile ad esso. Dopo essere entrati nella rete, gli intrusi hanno sfruttato gli strumenti Windows Management Instrumentation (WMI) per distribuire altro software nei computer raggiungibili dal server Exchange.
Per procedere con l’attacco, gli attori delle minacce hanno utilizzato più di una dozzina di script PowerShell, che preparano l’ambiente target per il payload del ransomware oltre a spingere e avviare l’eseguibile Epsilon Red. Notoriamente, il meccanismo di offuscamento per questi script PowerShell è piuttosto debole e rudimentale. Tuttavia, è sufficiente per eludere la rilevazione con soluzioni antivirus diffusamente utilizzate.
Gli esperti di sicurezza sospettano che la famigerata gang REvil potrebbe essere dietro lo sviluppo di Epsilon Red. Il principale indizio di questa ipotesi è la nota di riscatto che appare sui sistemi compromessi. Essa ricorda quella lasciata dal ransomware REvil, seppur con alcune aggiunte e aggiornamenti grammaticali. Oltre alla nota di riscatto, Epsilon Red non ha nulla in comune con REvil, con strumenti e tattiche uniche applicate negli attacchi.
Rilevamento di Epsilon Red
Per proteggere l’infrastruttura della tua azienda e prevenire possibili infezioni di Epsilon Red, puoi scaricare una regola Sigma della comunità rilasciata dal nostro prolifico sviluppatore di Threat Bounty Sittikorn Sangrattanapitak.
https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ELK Stack
MITRE ATT&CK:
Tattiche: Ricognizione, Esecuzione
Tecniche: Scansione Attiva (T1595), Interprete di Comandi e Script (T1059)
Poiché il vettore di infezione iniziale è sospettato di essere un server Microsoft Exchange vulnerabile all’exploit ProxyLogon, raccomandiamo vivamente agli amministratori di aggiornare le loro installazioni all’ultima versione sicura il prima possibile. Inoltre, gli utenti del Threat Detection Marketplace potrebbero accedere a un set di regole Sigma mirate al rilevamento di ProxyLogon per identificare i buchi nella sicurezza esistenti.
Cerchi più contenuti di rilevazione delle minacce? Iscriviti gratuitamente al Threat Detection Marketplace e accedi a oltre 100K voci di contenuti SOC curati che affrontano gli attacchi più recenti e personalizzati per il tuo ambiente. Sei desideroso di creare le tue regole Sigma? Unisciti al nostro Programma di Threat Bounty e ricevi ricompense ricorrenti per il tuo contributo!
