Η εταιρεία ασφαλείας Sophos ισχυρίζεται ότι ανακάλυψε ένα νέο ransomware που στοχεύει Windows συστήματα. Το ransomware αυτό είναι το τελικό payload σε μια επίθεση όπου τα υπόλοιπα στάδια παραδίδονται μέσω PowerShell script. Ο βασικός ερευνητής της Sophos, Andrew Brandt, είπε σε ένα λεπτομερές blog post ότι το νέο ransomware, με το όνομα Epsilon Red, είναι γραμμένο στη γλώσσα προγραμματισμού Go και παρατηρήθηκε πρόσφατα σε μια επίθεση που στόχευσε μια αμερικανική εταιρεία.
Σύμφωνα με τον Brandt, οι hackers πίσω από το Epsilon Red έχουν λάβει περίπου 4,29 bitcoin από τουλάχιστον μία οντότητα που δέχτηκε επίθεση (με βάση την παρακολούθηση του bitcoin wallet που είχαν δώσει οι επιτιθέμενοι για την πληρωμή των λύτρων).
“Φαίνεται ότι ένας εταιρικός Microsoft Exchange server ήταν το αρχικό σημείο εισόδου για την απόκτηση πρόσβασης στο εταιρικό δίκτυο”, έγραψε.
Δείτε επίσης: Zeppelin ransomware: Επιστρέφει με updated εκδόσεις!
Χάκερ παραβιάζουν Webcam χωρίς να φαίνονται ενεργοποιημένες
Επαναστατική Τεχνική Ρομποτικής Μεταμόσχευσης Πνευμόνων
Κίνα Tianwen 3 mission: Θα φέρει δείγμα από τον Άρη το 2031
“Δεν είναι σαφές εάν αυτό ενεργοποιήθηκε από το ProxyLogon exploit ή άλλη ευπάθεια, αλλά φαίνεται πιθανό ότι η βασική αιτία ήταν ένας server που δεν είχε ενημερωθεί“.
Σημείωμα λύτρων από το Epsilon Red
Σύμφωνα με τον ερευνητή της Sophos, το σημείωμα λύτρων που άφησαν οι hackers μοιάζει αρκετά με τα σημειώματα που αφήνει η Revil συμμορία, τα οποία ωστόσο είναι συνήθως γεμάτα με ορθογραφικά και γραμματικά λάθη. Αντίθετα, το μήνυμα του Epsilon Red ransomware έχει υποστεί τροποποιήσεις έτσι ώστε το κείμενο να είναι πιο ευανάγνωστο σε αγγλόφωνους χρήστες.
Πολλοί άλλοι ερευνητές, πέρα από τον Brandt, συμμετείχαν στην εξέταση του νέου Windows ransomware και τη συγγραφή του blog post: Anand Ajjan, Richard Cohen, Fraser Howard, Elida Leite, Mark Loman, Andrew Ludgate, Peter Mackenzie, Nirav Parekh και Gabor Szappanos.
Ο Mackenzie, διευθυντής της ομάδας Rapid Response της Sophos, δήλωσε: “Το Epsilon Red είναι ένα ενδιαφέρον νέο ransomware. Το πραγματικό ransomware file είναι πολύ περιορισμένο, πιθανώς έχει παραχωρήσει άλλα tasks, όπως τη διαγραφή αντιγράφων ασφαλείας, στα PowerShell scripts“.
Δείτε επίσης: FBI: Συνδέει το Conti ransomware με 16 επιθέσεις σε σημαντικούς οργανισμούς των ΗΠΑ
“Χρησιμοποιείται μόνο για την κρυπτογράφηση αρχείων και δεν στοχεύει κάτι συγκεκριμένα: εάν αποφασίσει να κρυπτογραφήσει ένα φάκελο, θα κρυπτογραφήσει τα πάντα μέσα σε αυτόν τον φάκελο. Δυστυχώς, αυτό μπορεί να σημαίνει ότι και άλλα εκτελέσιμα και dynamic link libraries κρυπτογραφούνται επίσης. Αυτό μπορεί να απενεργοποιήσει βασικά προγράμματα που εκτελούνται ή και ολόκληρο το σύστημα. Ως αποτέλεσμα, το μηχάνημα που έχει δεχτεί την επίθεση, θα πρέπει να αποκατασταθεί πλήρως“.
Δείτε επίσης: Bose: Αποκάλυψε παραβίαση δεδομένων μετά από ransomware επίθεση!
“Ο καλύτερος τρόπος για να αποτρέψετε την αναστολή του ransomware όπως το Epsilon Red, είναι να διασφαλίσετε ότι οι servers είναι πλήρως ενημερωμένοι και ότι οι λύσεις ασφαλείας σας μπορούν να εντοπίσουν και να μπλοκάρουν οποιαδήποτε ύποπτη συμπεριφορά και απόπειρα κρυπτογράφησης αρχείων“, είπαν οι ερευνητές.
Πηγή: iTWire