Saltar al contenido
computerg

🥇 Este Nuevo Ransomware Se Dirige A Servidores De Microsoft Exchange Sin Parches

mayo 31, 2021

Los estudiosos de ciberseguridad han sido testigos de una pluralidad sin precedentes de ransomware de Windows que puede haber comprometido un servidor de correo de Microsoft Exchange sin parchear y llegar a las redes de una compañía hotelera con sede en EE. UU.

En un artículo detallado, los analistas de Sophos descubrieron que el ransomware escrito en el lenguaje de programación Go tiene por nombre Epsilon Red.

Basado en la dirección de criptomoneda proporcionada por los atacantes, Sophos estima que por lo menos una de las víctimas de Epsilon Red pagó un rescate de cuatrocientos veintinueve BTC el quince de mayo, o bien más o menos € doscientos diez con cero.

¡LaComparacion te precisa!

Echamos una ojeada a de qué manera nuestros lectores están utilizando VPN para un próximo informe en profundidad. Nos encantaría saber de en la encuesta ahora. No va a tomar más de sesenta segundos de su tiempo.

Haga click acá para comenzar la encuesta en una nueva ventana

“Parece que un servidor Microsoft Exchange corporativo fue el punto inicial de entrada de los atacantes a la red corporativa. No está claro si esto fue activado por el exploit ProxyLogon o bien alguna otra vulnerabilidad, mas semeja probable que la causa raíz sea un servidor sin parche ”, escribe Andrew Brandt, estudioso senior de Sophos.

Ransomware PowerShell

Cuando Epsilon Red se ha introducido en una máquina, usa Windows Management Instrumentation (WMI) para instalar otro software en cualquier máquina de la red a la que pueda acceder desde el servidor Exchange.

Sophos comparte que a lo largo del ataque, los actores de amenazas ejecutan una serie de scripts de PowerShell para preparar las máquinas atacadas para el ransomware final. Esto incluye, por poner un ejemplo, quitar las instantáneas de volumen, para asegurar que las máquinas cifradas no se puedan restaurar, ya antes de dar y ejecutar por último el ransomware.

El ransomware en sí es bastante pequeño y realmente solo cifra los ficheros, puesto que todos los otros aspectos del ataque se hacen a través de scripts de PowerShell.

Los estudiosos apuntan que el ejecutable del ransomware contiene código que extrajeron de un proyecto de código abierto llamado godirwalk, para escanear el disco y compilarlo en una lista.

Tal vez el aspecto más extraño de toda la campaña es que la nota de rescate de Epsilon Red «se semeja mucho» a la que dejaron los actores de amenazas tras el ransomware REvil, si bien un tanto más refinada gramaticalmente para dar significado a los hablantes nativos de inglés.


Source link