Microsoft Exchange se ha vuelto a utilizar en ataques de ransomware
Según la nota de rescate, los malos actores pueden estar detrás de una serie de scripts de PowerShell utilizados como arma para explotar vulnerabilidades en las redes corporativas, según Threat Post .
Los actores de amenazas han lanzado un nuevo ransomware basado en una serie de scripts de PowerShell diseñados para el cifrado y la explotación de brechas en los servidores Exchange sin parche que generalmente se usan en la red corporativa.
Los investigadores de Sophos descubrieron el nuevo ransomware, conocido como Epsilon Red, mientras investigaban un ataque a una empresa hotelera estadounidense, escribió el investigador principal de Sophos, Andrew Brandt, en una publicación publicada en línea.
El nombre es una referencia a un oscuro personaje adversario en los X-Men de Marvel y fue acuñado por los propios atacantes. Según Brandt, el personaje es un súper soldado de origen ruso armado con cuatro tentáculos mecánicos, que parece ilustrar cómo el ransomware extiende sus ganchos a lo largo de una red empresarial.
Si bien el virus en sí es un simple ejecutable de Windows de 64 bits escrito en Go, su estrategia de propagación es más sofisticada y depende de una serie de scripts de PowerShell para preparar las PC infectadas para la carga útil final del ransomware y luego distribuirlo e iniciarlo, agregó.
Hay pistas que indican que el mismo pirata informático está detrás del ransomware REvil. El mensaje dejado en los dispositivos infectados se asemeja a la nota dejada por el ransomware REvil, pero agrega algunas correcciones gramaticales menores que lo hacen más comprensible para los hablantes nativos de inglés, dijo Brandt. Sin embargo, el nombre y el conjunto de herramientas del ransomware eran claramente atribuibles al atacante y no había otras similitudes con el vector de ataque estándar REvil.
Según el informe, la víctima del ataque observado por Sophos pagó un rescate de 4,29 bitcoins el 15 de mayo, que en ese momento valía casi 210.000 dólares.
Hack de PowerShell
Los atacantes utilizaron Instrumental de administración de Windows (WMI) para instalar malware adicional en dispositivos de la red a los que podían acceder desde el servidor Exchange.
No está claro si los atacantes se aprovecharon de la infame vulnerabilidad Exchange ProxyLogon que causó importantes dolores de cabeza a Microsoft a principios de este año. Sin embargo, Brandt descubrió que el servidor sin parche utilizado para el ataque era vulnerable a esta falla.
Durante el ataque, los actores de amenazas ejecutaron una serie de scripts de PowerShell numerados del 1.ps1 al 12.ps1, así como algunos scripts nombrados con una sola letra del alfabeto, para preparar las estaciones de trabajo afectadas para la carga útil final del ransomware. Agregó que los scripts también entregaron y lanzaron la carga útil Epsilon Red.
Los scripts de PowerShell utilizan una "forma rudimentaria de ofuscación" que no obstaculizó el análisis de los investigadores de Sophos, pero "podrían ser lo suficientemente buenos para evadir la detección de una herramienta anti-malware que está escaneando los archivos en el disco duro durante unos minutos, que es todo lo que los atacantes realmente necesitan ", dijo Brandt.
Entrega de carga útil
El ransomware es un programa llamado RED.exe, creado con MinGW y empaquetado con una versión modificada del empaquetador de tiempo de ejecución UPX. Según Brandt, la carga útil contiene código de un proyecto de código abierto en GitHub llamado godirwalk que le permite escanear el disco duro en el que se está ejecutando en busca de rutas de directorio y resumirlas en una lista.
Según Brandt, el ejecutable es un archivo pequeño y una aplicación básica que solo se usa para cifrar datos en la máquina de destino sin realizar conexiones de red o realizar otras tareas importantes, todas las cuales se delegan a los scripts de PowerShell.
Fuente: https://news.softpedia.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios