+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Sophos виявив новий шкідливість, що атакує Microsoft Exchange

Sophos виявив нове шкідливе програмне забезпечення, яке атакує Microsoft Exchange

Sophos виявив нове шкідливе програмне забезпечення під час розслідування атаки на неназвану велику американську компанію гостинності. Оператори нового програмного забезпечення-вимагача під назвою Red Epsilon використовують вразливості на серверах Microsoft Exchange для компрометації комп'ютерних систем і шифрування даних.

Зловмисники проникли в корпоративну мережу, експлуатуючи вразливості в локальному сервері Microsoft Exchange. Наразі експерти не знають, чи використовували хакери вразливості ProxyLogon для доступу до пристроїв.

Епсілон Червоний написаний на мові Голанг (Go) і містить набір унікальних скриптів PowerShell, які готують пристрій до процедури шифрування файлів. Скрипти можуть відключати процеси і служби рішень безпеки, баз даних, програм резервного копіювання, офісних додатків і поштових клієнтів, видаляти shadow copies тому, викрадати файл диспетчера облікових записів безпеки (SAM) з хешами паролів, видаляти журнали подій Windows, відключати Захисник Windows, підвищувати привілеї в системі і т.д.

Більшість скриптів нумеруються від 1 до 12, але є кілька, які названі однією буквою. Один з них, c.ps1, здається, є клоном інструменту тестування на проникнення Copy-VSS.

Після порушення мережі хакери отримують доступ до комп'ютерів через протокол віддаленого робочого столу (RDP) і використовують інструменти керування Windows (WMI) для встановлення програмного забезпечення та запуску сценаріїв PowerShell. Дослідники Sophos помітили, що зловмисники також встановлюють браузер Tor і копію комерційного програмного забезпечення для операцій віддаленого робочого столу Remote Utilities.

Програми-вимагачі шифрують всі дані в цільових папках, додаючи розширення .epsilonred, не шкодуючи виконуваних файлів або бібліотек DLL, які можуть порушити роботу важливих програм або навіть операційної системи.

Хоча назва та інструменти є унікальними для цього зловмисника, записка про викуп на заражених комп'ютерах схожа на записку, залишену групою REvil. Однак примітка Епсілон Ред робить кілька незначних граматичних виправлень. Інших подібностей між програмами-вимагачами Epsilon Red і REvil не виявлено.

За результатами аналізу адреси криптовалютного гаманця зловмисників стало відомо, що щонайменше одна з жертв заплатила викуп у розмірі 4,29 біткоїнів 15 травня поточного року.

Інші новини