ProxyLogon и россыпь скриптов
Эксперты компании Sophos выявили новый шифровальщик, который атакует уязвимые серверы Microsoft Exchange и пытается распространиться на всю сеть. Шифровальщик Epsilon Red запускает более десятка скриптов, прежде чем начинается процедура, собственно, шифрования. Вредонос пытается распространиться по всем машинам, находящимся в одной сети с уязвимым сервером.
Специалисты Sophos обнаружили Epsilon Red в ходе расследования кибератаки на крупного гостиничного оператора в США. Как выяснилось, злоумышленники воспользовались уязвимостями ProxyLogon (CVE-2021-26855) в локальном сервере Microsoft Exchange.
Компания Microsoft выпустила исправления для ProxyLogon еще в начале марта 2021 г. Практически сразу после публикации сведений об уязвимостях и патчей к ним киберзлоумышленники начали активно сканировать Сеть в поисках уязвимых машин и пытаться их атаковать.
Со своей стороны, организации по всему миру восприняли угрозу всерьез и начали активно устанавливать обновления на свои серверы Exchange. К апрелю 2021 г. около 92% всех серверов в мире получили исправления.
Серверы Microsoft Exchange атакованы шифровальщиком с «русским» именем
Сам шифровальщик Epsilon Red написан на языке Golang, однако его сопровождают более десятка скриптов PowerShell, чье назначение — подготовить почву для атаки. Эти скрипты способны «убивать» процессы защитных инструментов, баз данных, систем резервирования, офисных приложений и почтовых клиентов, удалять теневые копии и логи, отключать Windows Defender, деинсталлировать антивирусы Sophos, TrendMicro, Cylance, Malware Bytes, Sentinel One, Vipre, Webroot, повышать привилегии для шифровальщика в системе и даже красть хэши паролей.
Скрипты поименованы числами от 1 до 12 и буквами. Один из них оказался копией инструмента для пентестеров Copy-VSS.
При этом первичное вторжение производится вручную: злоумышленники подключаются к уязвимым машинам через RDP и используют инструментарий управления Windows (WMI) для загрузки и запуска скриптов, после чего начинает работать сам шифровальщик.
Эксперты Sophos также обратили внимание, что злоумышленники устанавливают копию набора утилит Remote Utilities для удаленного управления и браузер Tor. Очевидно это делается для того, чтобы обеспечить резервный доступ к атакованной системе.
Топорная работа
По мнению специалистов компании Sophos, Epsilon Red не отличается профессиональностью исполнения, но, тем не менее, вреда причинить может очень много.
Почему цифровые двойники становятся мэйнстримом в энергетике Новое в СХД
EpsilonRed содержит код из опенсорсного инструмента godirwalk, библиотеки для обхода всей структуры каталогов в файловой системе. Это позволяет вредоносу сканировать жесткий диск и произвольно добавлять любые каталоги к списку, используемому дочерними процессами. Те шифруют каждый подкаталог индивидуально, так что в итоге на каждой машине запускается колоссальное количество шифровальных процессов, что может приводить к полной загрузке процессора.
Шифруются любые файлы, включая исполняемые и DLL, что в итоге приводит к полной неработоспособности операционной системы. В каждом каталоге появляется файл с требованием выкупа и инструкциями по его выплате. Сам текст вымогательского письма очень напоминает послание группировки REvil, правда, на этот раз злоумышленники составили себе труд исправить грамматические и орфографические ошибки оригинала.
Происхождение операторов Epsilon Red остается неизвестным, зато точно понятно, откуда они взяли название. Это имя малоизвестного героя комиксов Marvel — «русского суперсолдата-телепата» с четырьмя щупальцами помимо обычных рук и ног, обладающего способностью дышать в космосе.
По данным Sophos, как минимум одна жертва шифровальщика выплатила требуемый выкуп; он составил более $200 тыс. в биткоинах.
«Шифровальщику не обязательно быть хорошо написанным и действовать тонко, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Достаточно выполнять свою основную функцию. Другое дело, что обилие процессов сразу вызовет подозрение и станет поводом остановить атаку до того, как все данные будут зашифрованы. В любом случае, учитывая, что первичный вектор атаки связан с уязвимостями в Microsoft Exchange, эту атаку проще не допустить, чем потом иметь дело с последствиями: нужные патчи давно доступны».
