Saltar al contenido
computerg

ūü•á Este Nuevo Ransomware Se Dirige A Servidores De Microsoft Exchange Sin Parches

mayo 31, 2021

Los estudiosos de ciberseguridad han sido testigos de una pluralidad sin precedentes de ransomware de Windows que puede haber comprometido un servidor de correo de Microsoft Exchange sin parchear y llegar a las redes de una compa√Ī√≠a hotelera con sede en EE. UU.

En un artículo detallado, los analistas de Sophos descubrieron que el ransomware escrito en el lenguaje de programación Go tiene por nombre Epsilon Red.

Basado en la direcci√≥n de criptomoneda proporcionada por los atacantes, Sophos estima que por lo menos una de las v√≠ctimas de Epsilon Red pag√≥ un rescate de cuatrocientos veintinueve BTC el quince de mayo, o bien m√°s o menos ‚ā¨ doscientos diez con cero.

¬°LaComparacion te precisa!

Echamos una ojeada a de qué manera nuestros lectores están utilizando VPN para un próximo informe en profundidad. Nos encantaría saber de en la encuesta ahora. No va a tomar más de sesenta segundos de su tiempo.

Haga click ac√° para comenzar la encuesta en una nueva ventana

‚ÄúParece que un servidor Microsoft Exchange corporativo fue el punto inicial de entrada de los atacantes a la red corporativa. No est√° claro si esto fue activado por el exploit ProxyLogon o bien alguna otra vulnerabilidad, mas semeja probable que la causa ra√≠z sea un servidor sin parche ‚ÄĚ, escribe Andrew Brandt, estudioso senior de Sophos.

Ransomware PowerShell

Cuando Epsilon Red se ha introducido en una m√°quina, usa Windows Management Instrumentation (WMI) para instalar otro software en cualquier m√°quina de la red a la que pueda acceder desde el servidor Exchange.

Sophos comparte que a lo largo del ataque, los actores de amenazas ejecutan una serie de scripts de PowerShell para preparar las m√°quinas atacadas para el ransomware final. Esto incluye, por poner un ejemplo, quitar las instant√°neas de volumen, para asegurar que las m√°quinas cifradas no se puedan restaurar, ya antes de dar y ejecutar por √ļltimo el ransomware.

El ransomware en s√≠ es bastante peque√Īo y realmente solo cifra los ficheros, puesto que todos los otros aspectos del ataque se hacen a trav√©s de scripts de PowerShell.

Los estudiosos apuntan que el ejecutable del ransomware contiene código que extrajeron de un proyecto de código abierto llamado godirwalk, para escanear el disco y compilarlo en una lista.

Tal vez el aspecto m√°s extra√Īo de toda la campa√Īa es que la nota de rescate de Epsilon Red ¬ęse semeja mucho¬Ľ a la que dejaron los actores de amenazas tras el ransomware REvil, si bien un tanto m√°s refinada gramaticalmente para dar significado a los hablantes nativos de ingl√©s.


Source link