01.06.2021 | Операторы нового вымогателя Epsilon Red атакуют серверы Microsoft Exchange |
Операторы нового вымогательского ПО под названием Red Epsilon используют уязвимости в серверах Microsoft Exchange для взлома компьютерных систем и шифрования данных. Специалисты из ИБ-компании Sophos обнаружили новый вредонос во время расследования атаки на неназванную крупную американскую компанию в сфере гостеприимства. Злоумышленники проникли в корпоративную сеть, используя уязвимости в локальном сервере Microsoft Exchange. Эксперты в настоящее время не знают, эксплуатировали ли хакеры уязвимости ProxyLogon для доступа к устройствам. Epsilon Red написан на языке Golang (Go) и содержит набор уникальных PowerShell-скриптов, которые подготавливают устройство для процедуры шифрования файлов. Скрипты способны отключать процессы и службы защитных решений, баз данных, программ резервного копирования, приложений Office и почтовых клиентов, удалять Volume Shadow Copies, похищать файл Security Account Manager (SAM) с хешами паролей, удалять логи событий Windows, отключать Защитника Windows, повышать привилегии на системе и пр. Большинство скриптов пронумерованы от 1 до 12, но есть несколько, которые названы одной буквой. Один из них, c.ps1, похоже, является клоном инструмента тестирования на проникновение Copy-VSS. После взлома сети хакеры получают доступ к компьютерам через Remote Desktop Protocol (RDP) и используют инструментарий управления Windows (WMI) для установки программного обеспечения и запуска PowerShell-скриптов. Исследователи Sophos заметили, что злоумышленники также устанавливают браузер Tor и копию коммерческого программного обеспечения для операций с удаленными рабочими столами Remote Utilities. Вымогатель шифрует все данные в целевых папках, добавляя расширение .epsilonred, не щадя исполняемые файлы или DLL-библиотеки, которые могут нарушить работу важных программ или даже операционной системы. |
|
Проверить безопасность сайта
