新型 Epsilon Red 勒索軟件攻擊美國公司

研究人員發現了一種名為 Epsilon Red 的新型勒索軟件，它至少被用于攻擊一家美國公司。

Sophos 的研究人員發現了一種名為 Epsilon Red 的新型勒索軟件，它至少感染了美國酒店業的一個組織。Epsilon Red 這個名字來自漫威擴展宇宙中一些 X 戰警的對手，它是一名“超級士兵”，據稱是俄羅斯血統，長著四只機械觸角，態度惡劣。

該安全公司發現 Epsilon Red 運營商提供給這家美國公司的錢包地址包含價值約 210,000 美元的比特幣，這種情況表明至少有一名受害者支付了贖金。

Epsilon Red 勒索軟件是用 Go 編程語言編寫的，它是人為操作的勒索軟件，它是一種涉及 PowerShell 腳本的多階段威脅。

“在攻擊過程中，攻擊者啟動了一系列 PowerShell 腳本，編號為1.ps1到12.ps1（以及一些僅用字母表中的單個字母命名的腳本 ），為最終勒索軟件準備了受攻擊的機器有效載荷，并最終交付并啟動它。” 閱讀Sophos 發布的分析。

Sophos 研究人員認為，未打補丁的企業 Microsoft Exchange 服務器是最初的切入點，但目前尚不清楚攻擊者是利用了ProxyLogon 漏洞還是其他漏洞。然后攻擊者使用 WMI 將其他軟件安裝到目標網絡中托管的機器上。

“PowerShell 編排本身是由名為RED.ps1的 PowerShell 腳本創建和觸發的，該腳本使用 WMI 在目標計算機上執行。” 繼續分析。“該腳本檢索并解壓到 system32 文件夾中的 .7z 存檔文件，其中包含其余的 PowerShell 腳本、勒索軟件可執行文件和另一個可執行文件。”

專家注意到，Epsilon Red投放的勒索信與使用過的REvil 勒索軟件運營商類似，但語法錯誤較少。

專家注意到，勒索軟件不包含目標文件類型列表，它會加密文件夾中的每個文件，并可能導致應用程序甚至整個操作系統無法運行。

勒索軟件本身非常小，因為它實際上僅用于對目標系統上的文件進行加密。它不進行網絡連接，而且由于諸如殺死進程或刪除卷影副本之類的功能已外包給 PowerShell 腳本，因此它確實是一個非常簡單的程序。

加密文件后，勒索軟件會附加“ *. *epsilonred” 擴展名到文件名，并在每個文件夾中放置贖金票據。

該勒索軟件利用 PowerShell 腳本修改防火墻規則以允許攻擊者的遠程連接、禁用或終止可能鎖定文件以防止加密的進程、刪除卷影副本以防止文件恢復、卸載安全軟件并刪除 Windows 事件日志，授予“所有人”組對每個驅動器號的訪問權限。

“經過仔細檢查，攻擊者在訪問目標網絡后做的第一件事就是下載并安裝 Remote Utilities 和 Tor 瀏覽器的副本，因此這似乎是一種讓自己放心的方法，他們將有另一個立足點如果初始接入點被鎖定。” 繼續分析。

攻擊者使用 Remote Utilities 商業解決方案來維持對受感染系統的訪問，以防他們的初始入口點被關閉。

研究人員尚未發現 Epsilon Red 操作員與其他威脅行為者之間存在任何聯系。