Phần mềm tống tiền mới này đang đe dọa các máy chủ Microsoft Exchange chưa được vá lỗi

Các nhà nghiên cứu an ninh mạng đã chứng kiến ​​một loạt ransomware chưa từng thấy trước đây của Windows có thể xâm nhập máy chủ email Microsoft Exchange chưa được vá và mạng của một doanh nghiệp khách sạn có trụ sở ở Mỹ.

Trong một bài đăng chi tiết, các nhà phân tích của Sophos đã tiết lộ rằng ransomware được viết bằng ngôn ngữ lập trình Go, tự đặt tên là Epsilon Red.

Dựa trên địa chỉ tiền điện tử mà những kẻ tấn công cung cấp, Sophos tin ít nhất một trong những nạn nhân của Epsilon Red trả một khoản tiền chuộc 4.29 BTC (Bitcoin) vào ngày 15 tháng 5, tương đương khoảng 210.000 USD.

“Có vẻ như một máy chủ Microsoft Exchange của doanh nghiệp là nơi đầu tiên bị những kẻ tấn công xâm nhập vào mạng doanh nghiệp. Không rõ liệu điều này được kích hoạt bởi khai thác ProxyLogon hay một lỗ hổng khác, nhưng có vẻ như nguyên nhân gốc rễ là do một máy chủ chưa được vá” -  Andrew Brandt - nhà nghiên cứu chính của Sophos - cho hay.

Theo Sophos, trong suốt cuộc tấn công, để chuẩn bị các máy bị tấn công cho ransomware cuối cùng, các tác nhân đe dọa khởi chạy một loạt các tập lệnh PowerShell. Ví dụ, những kẻ tấn công xóa các bản sao Volume Shadow để đảm bảo các máy đã mã hóa không thể được khôi phục trước khi phân phối và khởi chạy ransomware.

Bản thân ransomware khá nhỏ và chỉ thực sự mã hóa các tệp, vì tất cả các khía cạnh khác của cuộc tấn công đều được thực hiện bởi các tập lệnh PowerShell.

Các nhà nghiên cứu lưu ý, tệp thực thi của ransomware chứa một số mã mà họ đã lấy từ một dự án mã nguồn mở có tên là godirwalk để quét ổ đĩa và biên dịch nó thành một danh sách.

Có lẽ điều kỳ lạ nhất của toàn bộ chiến dịch là ghi chú tiền chuộc của Epsilon Red "gần giống" với ghi chú do những kẻ tấn công đứng sau phần mềm tống tiền REvil đưa ra, mặc dù ngữ pháp đã được điều chỉnh để giống với tiếng Anh bản ngữ.