Шифровальщик Epsilon Red использует дюжину скриптов для подготовки почвы для атак и отдельный процесс для каждого шифруемого каталога. Но начинается все с эксплуатации старой уязвимости в Microsoft Exchanger.
ProxyLogon и
россыпь скриптов
Эксперты компании Sophos выявили новый
шифровальщик, который атакует уязвимые серверы Microsoft Exchange и пытается распространиться на всю сеть. Шифровальщик
Epsilon Red запускает более десятка
скриптов, прежде чем начинается процедура, собственно, шифрования. Вредонос
пытается распространиться по всем машинам, находящимся в одной сети с уязвимым
сервером.
Специалисты Sophos обнаружили Epsilon Red в ходе расследования
кибератаки на крупного гостиничного оператора в США. Как выяснилось,
злоумышленники воспользовались уязвимостями ProxyLogon (CVE-2021-26855) в локальном сервере Microsoft Exchange.
Компания Microsoft выпустила
исправления для ProxyLogon еще в начале марта 2021 г. Практически сразу после публикации сведений об
уязвимостях и патчей к ним киберзлоумышленники начали активно сканировать Сеть
в поисках уязвимых машин и пытаться их атаковать.
Со своей стороны,
организации по всему миру восприняли угрозу всерьез и начали активно
устанавливать обновления на свои серверы Exchange. К апрелю 2021 г. около 92% всех серверов в мире
получили исправления.
Сам шифровальщик Epsilon Red написан на языке Golang, однако его
сопровождают более десятка скриптов PowerShell, чье назначение — подготовить почву для атаки.
Эти скрипты способны «убивать» процессы защитных инструментов, баз данных,
систем резервирования, офисных приложений и почтовых клиентов, удалять теневые
копии и логи, отключать Windows Defender, деинсталлировать антивирусы Sophos, TrendMicro, Cylance, Malware Bytes, Sentinel One, Vipre, Webroot, повышать привилегии для шифровальщика в системе
и даже красть хэши паролей.
Скрипты поименованы
числами от 1 до 12 и буквами. Один из них оказался копией инструмента для
пентестеров Copy-VSS.
При этом первичное вторжение
производится вручную: злоумышленники подключаются к уязвимым машинам через RDP и используют
инструментарий управления Windows (WMI) для загрузки и запуска скриптов, после чего
начинает работать сам шифровальщик.
Эксперты Sophos также обратили
внимание, что злоумышленники устанавливают копию набора утилит Remote Utilities для удаленного
управления и браузер Tor. Очевидно это делается для того, чтобы обеспечить резервный доступ к
атакованной системе.
Топорная работа
По мнению специалистов
компании Sophos,
Epsilon Red не отличается
профессиональностью исполнения, но, тем не менее, вреда причинить может очень
много.
EpsilonRed
содержит код из опенсорсного инструмента godirwalk, библиотеки для обхода всей структуры каталогов в
файловой системе. Это позволяет вредоносу сканировать жесткий диск и
произвольно добавлять любые каталоги к списку, используемому дочерними процессами.
Те шифруют каждый подкаталог индивидуально, так что в итоге на каждой машине
запускается колоссальное количество шифровальных процессов, что может приводить
к полной загрузке процессора.
Шифруются любые файлы,
включая исполняемые и DLL, что в итоге приводит к полной неработоспособности операционной системы. В
каждом каталоге появляется файл с требованием выкупа и инструкциями по его
выплате. Сам текст вымогательского письма очень напоминает послание группировки
REvil, правда,
на этот раз злоумышленники составили себе труд исправить грамматические и
орфографические ошибки оригинала.
Происхождение операторов
Epsilon Red остается неизвестным, зато точно понятно, откуда они взяли
название. Это имя малоизвестного героя комиксов Marvel — «русского
суперсолдата-телепата» с четырьмя щупальцами помимо обычных рук и ног,
обладающего способностью дышать в космосе.
По данным Sophos, как
минимум одна жертва шифровальщика выплатила требуемый выкуп; он составил более
$200 тыс. в биткоинах.
«Шифровальщику не обязательно
быть хорошо написанным и действовать тонко, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Достаточно
выполнять свою основную функцию. Другое дело, что обилие процессов сразу
вызовет подозрение и станет поводом остановить атаку до того, как все данные
будут зашифрованы. В любом случае, учитывая, что первичный вектор атаки связан
с уязвимостями в Microsoft Exchange, эту атаку проще не допустить, чем потом иметь
дело с последствиями: нужные патчи давно доступны».