باج‌افزار جدید Epsilon Red، تهدید جدی برای سرورهای Exchange

باج‌افزار جدیدی به نام Epsilon Red شناسایی شده است که از آسیب‌پذیری سرورهای Microsoft Exchange برای رمزگذاری سیستم‌ها در سراسر شبکه استفاده می‌کند. حملات باج‌افزار Epsilon Red قبل از رسیدن به مرحله رمزگذاری، به بیش از ۱۰ اسکریپت متکی هستند و همچنین از یک ابزار تجاری ریموت از راه‌دور استفاده می‌کنند.

آسیب به سرورهای آسیب‌پذیر Microsoft Exchange

پاسخ‌دهندگان به حوادث امنیت سایبری در شرکت Sophos طی چند روز گذشته هنگام تحقیق در مورد حمله به یک کسب‌وکار نسبتاً بزرگ آمریکایی در قسمت کاربران، باج‌افزار جدید Epsilon Red را کشف کردند. محققان دریافتند که عامل تهدید با بهره‌برداری از آسیب‌پذیری‌های غیرقابل اصلاح در سرور Microsoft Exchange، به شبکه سازمانی نفوذ کرده است.
آندرو برانت، محقق اصلی در شرکت امنیت سایبری Sophos، در گزارشی گفته است که مهاجمان ممکن است از مجموعه آسیب‌پذیری‌های ProxyLogon برای دسترسی به سیستم‌های شبکه استفاده کنند. باگ‌های ProxyLogon به‌طور گسترده‌ای عمومیت یافته است. چرا که هکرها برای استفاده از این باگ فرصت را غنیمت شمرده و شروع به اسکن شبکه برای دستگاه‌های آسیب‌پذیر و به خطر انداختن سیستم‌ها کردند. به دلیل شدت بحران، کسب‌وکارهای سراسر جهان برای نصب patch هجوم آوردند و در کمتر از یک ماه حدود ۹۲% از سرورهای آسیب‌پذیر Microsoft Exchange را به‌روزرسانی کردند.

مجموعه‌ای بی‌نظیر از ابزارها

باج‌افزار Epsilon Red به زبان Golang (Go) نوشته شده است و مجموعه‌ای از اسکریپت‌های PowerShell منحصر‌به‌فرد قبل از آن، زمینه را برای رمزگذاری فایل‌ها استفاده می‌کند که هرکدام دارای هدف مشخصی هستند:
• از کار انداختن فرآیندها و خدمات برای ابزارهای امنیتی، پایگاه داده‌ها، برنامه‌های پشتیبان‌گیری، نرم‌افزارهای Office و سرویس گیرندگان ایمیل
• حذف Shadow Copies
• دزدیدن پرونده Security Account Manager (SAM) حاوی هش گذرواژه
• حذف گزارش رویدادهای Windows
• غیرفعال کردن Windows Defender
• تعلیق فرآیندها
• حذف نرم‌افزارهای امنیتی مانند Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot
• گسترش مجوزهای موجود در سیستم

اکثر اسکریپت‌ها از ۱ تا ۱۲ شماره‌گذاری شده‌اند اما تعداد کمی وجود دارد که به عنوان یک حرف واحد نام‌گذاری شده باشند؛ به نظر می‌رسد یکی از این اسکرپیت‌ها، c.ps1 شبیه ابزار تست نفوذ Copy-VSS باشد.

پس از رخنه در شبکه، هکرها از طریق RDP به دستگاه‌ها دسترسی پیدا می‌کنند و از Windows Management Instrumentation (WMI) برای نصب نرم‌افزار و اجرای اسکرپیت‌های PowerShell که در نهایت Epsilon Red را قابل اجرا می‌کند، استفاده می‌کنند. محققان Sophos مشاهده کردند که تهدید کننده همچنین یک نسخه از Remote Utilities (یک نرم‌افزار تجاری برای دسترسی از راه‌دور) را نصب می‌کنند. این حرکت برای اطمینان از این است که اگر دسترسی خود را از طریق نقطه ورودی اولیه از دست دهند، باز هم دسترسی برای ایجاد خراب‌کاری دارند.

مدل یادداشت باج‌افزار Revil

پیتر مکنزی، مدیر تیم واکنش سریع sophos، اظهار داشت که اگرچه به نظر نمی‌رسد که این نسخه از Epsilon Red کار حرفه‌ای‌ها باشد، اما می‌تواند باعث ایجاد آشفتگی شود. چرا که هیچ محدودیتی برای رمزگذاری انواع پرونده‌ها و پوشه‌ها ندارد.
این بدافزار، به غیر از رمزگذاری پرونده‌ها و پوشه‌ها، عملکرد کمی دارد اما شامل کدی از ابزار اوپن سورس godirwalk است، کتابخانه‌ای برای عبور از یک فهرست درختی در سیستم فایل. این قابلیت، Epsilon Red را قادر می‌سازد تا هارد دیسک را اسکن کرده و مسیرهای فهرست را به لیستی از مقصد برای فرآیندهایزیرمجموعه اضافه کند که به صورت جداگانه زیرپوشه‌ها را رمزگذاری می‌کنند. در پایان، دستگاه‌های آلوده تعداد زیادی از فرآیند باج‌افزار را اجرا می‌کنند. بدون رمزگذاری اجرایی یا DLL که می‌تواند نرم‌افزارهای ضروری یا حتی سیستم‌عامل را خراب کند، همه موارد موجود در پوشه‌های مورد نظر را که پسوند “.epsilonred” را پیوست می‌کنند، رمزگذاری می‌کند.
به روال معمول باج‌افزارها، Epsilon Red در هر پوشه پردازش شده باج را به همراه دستورالعمل نحوه تماس با مهاجمین برای مذاکره در مورد قیمت رمزگشایی اطلاعات را ارائه می‌کند. اگر دستورالعمل‌ها آشنا به نظر می‌رسد، دلیل آن این است که مهاجمان از یک نسخه اصلی توسط باج‌افزار REvil استفاده می‌کنند. با این حال، Epsilon Red تلاش می‌کند تا دستور زبان اصلی و اشتباهات املایی باند روسی را اصلاح کند.

در حالی که منشا هکرها در حال حاضر ناشناخته ماند است، مشخص است که آن‌ها نام گروه خود را از کجا آورده‌اند. Epsilon Red شخصیت کمی شناخته شده‌ای از جهان مارول است. یک ابر سرباز روسی با چهار شاخک که می‌تواند در فضا نفش بکشد. باند باج‌افزار Epsilon Red با وجود جدید بودن در تجارت از طریق باج‌افزار ، به چندین شرکت حمله کرده و چندین شرکت امنیتی سایبری در حال بررسی این حوادث هستند. هکرها مقداری پول هم به دست آورده اند. Sophos دریافته است كه یكی از قربانیان این تهدید باج افزار در ۱۵ مه ۴٫۲۸ BTC (حدود ۲۱۰،۰۰۰ دلار) به مهاجمان پرداخت كرده است.