Seguir 
A gangue REvil pode estar por trás da nova variante de malware que ataca explicitamente servidores Microsoft Exchange corporativos para penetrar em redes empresariais. A nova ameaça depende de um lote de scripts PowerShell armados para explorar vulnerabilidades conhecidas para a entrega final da carga útil. Atualmente, pesquisadores confirmaram que pelo menos um ataque bem-sucedido resultou em um pagamento de resgate de 4,29BTC (US$210.000).
O que é o Ransomware Epsilon Red?
O novo participante na arena maliciosa foi identificado por especialistas da Sophos no final de maio de 2021 enquanto investigavam o ataque contra um fornecedor de hospitalidade baseado nos EUA. A análise revela que Epsilon Red é um executável Windows 64-bit bastante simples codificado na linguagem Go. A funcionalidade é utilizada apenas para criptografia de arquivos, enquanto outras tarefas mais sofisticadas são delegadas a scripts PowerShell.
De acordo com a investigação da Sophos, os adversários confiaram em servidores Microsoft Exchange expostos para a intrusão inicial. Atualmente, não está claro se eles usaram a exploração nefasta Exchange ProxyLogon. No entanto, a investigação confirma que o servidor alvo era definitivamente vulnerável a ela. Após entrar na rede, os invasores usaram ferramentas de Instrumentação de Gerenciamento do Windows (WMI) para deixar outros softwares em máquinas acessíveis a partir do servidor Exchange.
Para prosseguir com o ataque, os atores da ameaça utilizaram mais de uma dúzia de scripts PowerShell, que preparam o ambiente alvo para a carga útil do ransomware, além de empurrar e iniciar o executável Epsilon Red. Notavelmente, o mecanismo de ofuscação desses scripts PowerShell é bastante fraco e rudimentar. No entanto, é suficiente para escapar da detecção com soluções antivírus populares.
Especialistas em segurança suspeitam que a infame gangue REvil possa estar por trás do desenvolvimento do Epsilon Red. A principal pista para essa suposição é a nota de resgate que aparece nas instâncias comprometidas. Ela se assemelha à deixada pelo ransomware REvil, mas com algumas adições e atualizações gramaticais. Além da nota de resgate, Epsilon Red não tem nada em comum com REvil, com ferramentas e táticas únicas aplicadas nos ataques.
Detecção de Epsilon Red
Para proteger a infraestrutura da sua empresa e prevenir possíveis infecções por Epsilon Red, você pode baixar uma regra Sigma comunitária lançada por nosso prolífico desenvolvedor de Threat Bounty Sittikorn Sangrattanapitak.
https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma
A regra possui traduções para os seguintes idiomas:
SIEM: Azure Sentinel, ELK Stack
MITRE ATT&CK:
Táticas: Reconhecimento, Execução
Técnicas: Varredura Ativa (T1595), Intérprete de Comandos e Scripts (T1059)
Como o vetor de infecção inicial é suspeito de ser um servidor Microsoft Exchange vulnerável à exploração ProxyLogon, recomendamos fortemente que os administradores atualizem suas instalações para a versão segura mais recente o mais rápido possível. Além disso, os usuários do Marketplace de Detecção de Ameaças podem acessar um conjunto de regras Sigma voltadas para a detecção de ProxyLogon para identificar falhas de segurança existentes.
Procurando mais conteúdo de detecção de ameaças? Inscreva-se no Threat Detection Marketplace gratuitamente e acesse mais de 100 mil itens de conteúdo curado de SOC endereçando os ataques mais recentes e personalizados para o seu ambiente. Deseja criar suas próprias regras Sigma? Junte-se ao nosso Programa Threat Bounty e receba recompensas recorrentes por sua contribuição!
