Разделы

Безопасность

Топорный шифровальщик атакует уязвимые серверы Microsoft Exchange и пытается все зашифровать

Шифровальщик Epsilon Red использует дюжину скриптов для подготовки почвы для атак и отдельный процесс для каждого шифруемого каталога. Но начинается все с эксплуатации старой уязвимости в Microsoft Exchanger.

ProxyLogon и россыпь скриптов

Эксперты компании Sophos выявили новый шифровальщик, который атакует уязвимые серверы Microsoft Exchange и пытается распространиться на всю сеть. Шифровальщик Epsilon Red запускает более десятка скриптов, прежде чем начинается процедура, собственно, шифрования. Вредонос пытается распространиться по всем машинам, находящимся в одной сети с уязвимым сервером.

Специалисты Sophos обнаружили Epsilon Red в ходе расследования кибератаки на крупного гостиничного оператора в США. Как выяснилось, злоумышленники воспользовались уязвимостями ProxyLogon (CVE-2021-26855) в локальном сервере Microsoft Exchange.

Компания Microsoft выпустила исправления для ProxyLogon еще в начале марта 2021 г. Практически сразу после публикации сведений об уязвимостях и патчей к ним киберзлоумышленники начали активно сканировать Сеть в поисках уязвимых машин и пытаться их атаковать.

Со своей стороны, организации по всему миру восприняли угрозу всерьез и начали активно устанавливать обновления на свои серверы Exchange. К апрелю 2021 г. около 92% всех серверов в мире получили исправления.

hak600.jpg
Серверы Microsoft Exchange атакованы шифровальщиком с «русским» именем

Сам шифровальщик Epsilon Red написан на языке Golang, однако его сопровождают более десятка скриптов PowerShell, чье назначение — подготовить почву для атаки. Эти скрипты способны «убивать» процессы защитных инструментов, баз данных, систем резервирования, офисных приложений и почтовых клиентов, удалять теневые копии и логи, отключать Windows Defender, деинсталлировать антивирусы Sophos, TrendMicro, Cylance, Malware Bytes, Sentinel One, Vipre, Webroot, повышать привилегии для шифровальщика в системе и даже красть хэши паролей.

Скрипты поименованы числами от 1 до 12 и буквами. Один из них оказался копией инструмента для пентестеров Copy-VSS.

При этом первичное вторжение производится вручную: злоумышленники подключаются к уязвимым машинам через RDP и используют инструментарий управления Windows (WMI) для загрузки и запуска скриптов, после чего начинает работать сам шифровальщик.

Эксперты Sophos также обратили внимание, что злоумышленники устанавливают копию набора утилит Remote Utilities для удаленного управления и браузер Tor. Очевидно это делается для того, чтобы обеспечить резервный доступ к атакованной системе.

Топорная работа

По мнению специалистов компании Sophos, Epsilon Red не отличается профессиональностью исполнения, но, тем не менее, вреда причинить может очень много.

Когда в России появятся полностью отечественные одноплатные компьютеры
техника

EpsilonRed содержит код из опенсорсного инструмента godirwalk, библиотеки для обхода всей структуры каталогов в файловой системе. Это позволяет вредоносу сканировать жесткий диск и произвольно добавлять любые каталоги к списку, используемому дочерними процессами. Те шифруют каждый подкаталог индивидуально, так что в итоге на каждой машине запускается колоссальное количество шифровальных процессов, что может приводить к полной загрузке процессора.

Шифруются любые файлы, включая исполняемые и DLL, что в итоге приводит к полной неработоспособности операционной системы. В каждом каталоге появляется файл с требованием выкупа и инструкциями по его выплате. Сам текст вымогательского письма очень напоминает послание группировки REvil, правда, на этот раз злоумышленники составили себе труд исправить грамматические и орфографические ошибки оригинала.

Происхождение операторов Epsilon Red остается неизвестным, зато точно понятно, откуда они взяли название. Это имя малоизвестного героя комиксов Marvel — «русского суперсолдата-телепата» с четырьмя щупальцами помимо обычных рук и ног, обладающего способностью дышать в космосе.

По данным Sophos, как минимум одна жертва шифровальщика выплатила требуемый выкуп; он составил более $200 тыс. в биткоинах.

«Шифровальщику не обязательно быть хорошо написанным и действовать тонко, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Достаточно выполнять свою основную функцию. Другое дело, что обилие процессов сразу вызовет подозрение и станет поводом остановить атаку до того, как все данные будут зашифрованы. В любом случае, учитывая, что первичный вектор атаки связан с уязвимостями в Microsoft Exchange, эту атаку проще не допустить, чем потом иметь дело с последствиями: нужные патчи давно доступны».

Роман Георгиев

Короткая ссылка