Le ransomware Epsilon Red cible les serveurs Microsoft Exchange

Une nouvelle menace de ransomware s’appelant Epsilon Red tire parti des vulnérabilités des serveurs Microsoft Exchange pour chiffrer les machines sur le réseau.

Les attaques de ransomware Epsilon Red reposent sur plus d’une douzaine de scripts avant d’atteindre l’étape de cryptage et utilisent également un utilitaire de bureau à distance commercial.

Epsilon Red cible les serveurs Microsoft Exchange vulnérables

Les intervenants de la société de cybersécurité Sophos ont découvert le nouveau ransomware Epsilon Red le mois dernier alors qu’ils enquêtaient sur une attaque contre une grande entreprise américaine du secteur de l’hôtellerie.

Les chercheurs ont découvert que les hackers ont pénétré le réseau de l’entreprise en exploitant des vulnérabilités non corrigées dans le serveur Microsoft Exchange.

Andrew Brandt, chercheur principal chez Sophos, a déclaré dans un rapport que les attaquants ont peut-être exploité l’ensemble de vulnérabilités ProxyLogon pour atteindre les machines du réseau.

Les failles ProxyLogon ont été largement médiatisés car les pirates recherchaient sur le Web les appareils vulnérables à ces failles pour compromettre les systèmes.

En raison de la gravité critique, les organisations du monde entier se sont précipitées pour installer les correctifs et en moins d’un mois, environ 92 % des serveurs Microsoft Exchange vulnérables ont reçu la mise à jour.

Un ensemble d’outils uniques

Epsilon Red est écrit en Golang (Go) et est précédé d’un ensemble de scripts PowerShell uniques qui préparent le terrain pour la routine de chiffrement de fichiers, chacun ayant un objectif spécifique :

  • tuer les processus et services pour les outils de sécurité, les bases de données, les programmes de sauvegarde, les applications Office, les clients de messagerie
  • supprimer les Volume Shadow Copies
  • voler le fichier Security Account Manager (SAM) contenant les hachages de mot de passe
  • supprimer les journaux d’événements Windows
  • désactiver Windows Defender
  • suspendre les processus
  • désinstaller les outils de sécurité (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
  • étendre les autorisations sur le système

La plupart des scripts sont numérotés de 1 à 12, mais il y en a quelques-uns qui sont nommés par une seule lettre. L’un d’eux, c.ps1, semble être un clone de l’outil de test d’intrusion Copy-VSS.

Epsilon Red
source: Sophos

Après avoir pénétré le réseau, les pirates atteignent les machines via RDP et utilisent Windows Management Instrumentation (WMI) pour installer des logiciels et exécuter des scripts PowerShell qui déploient finalement l’exécutable Epsilon Red.

Les chercheurs de Sophos ont remarqué que le hacker installe également une copie de Remote Utilities – un logiciel commercial pour les opérations de bureau à distance, et le navigateur Tor. Cette mesure vise à garantir qu’ils ont toujours une porte ouverte s’ils perdent l’accès par le point d’entrée initial.

epsilon red
source: Sophos

Modèle de note de rançon de REvil

Peter Mackenzie, responsable de l’équipe Sophos Rapid Response, a déclaré que bien que cette version d’Epsilon Red ne semble pas être l’œuvre de professionnels, elle peut causer beaucoup de dégâts car elle ne comporte aucune restriction pour le cryptage des types de fichiers et des dossiers.

Le malware a peu de fonctionnalités en dehors du cryptage des fichiers et des dossiers, mais il inclut le code de l’outil open source godirwalk, une bibliothèque permettant de parcourir une arborescence de répertoires sur un système de fichiers.

Cette fonctionnalité permet à Epsilon Red d’analyser le disque dur et d’ajouter des chemins de répertoire à une liste de destinations pour les processus enfants qui chiffrent les sous-dossiers individuellement. En fin de compte, les machines infectées exécuteront un grand nombre de copies du processus de ransomware.

Il crypte tout dans les dossiers ciblés en ajoutant le suffixe « .epsilonred », sans épargner les exécutables ou les DLL qui pourraient casser des programmes essentiels ou même le système d’exploitation.

Comme la plupart des ransomwares, Epsilon Red dépose dans chaque dossier traité la note de rançon avec des instructions sur la façon de contacter les attaquants pour négocier un prix de décryptage des données.

Si les instructions semblent familières, c’est parce que les attaquants utilisent une version améliorée de la note de rançon utilisée par le ransomware REvil. Cependant, Epsilon Red s’est efforcé de corriger les fautes de grammaire et d’orthographe originales du gang russe.

epsilon red

Bien que l’origine des pirates informatiques reste inconnue pour le moment, il est clair d’où ils tirent leur nom. Epsilon Red est un personnage méconnu de l’univers Marvel, un super-soldat russe à quatre tentacules capable de respirer dans l’espace.

Bien qu’il soit nouveau dans le secteur des ransomwares, le gang de ransomwares Epsilon Red a attaqué plusieurs entreprises et les incidents font l’objet d’une enquête par plusieurs sociétés de cybersécurité.

Les pirates ont également gagné de l’argent. Sophos a découvert qu’une victime de cette menace de ransomware a payé aux attaquants 4,28 BTC le 15 mai (environ 210 000 $).

epsilon red
source: Sophos
Vous pourriez aussi aimer
Laisser un commentaire