新型 Epsilon Red 勒索软件攻击美国公司

研究人员发现了一种名为 Epsilon Red 的新型勒索软件，它至少被用于攻击一家美国公司。

Sophos 的研究人员发现了一种名为 Epsilon Red 的新型勒索软件，它至少感染了美国酒店业的一个组织。Epsilon Red 这个名字来自漫威扩展宇宙中一些 X 战警的对手，它是一名“超级士兵”，据称是俄罗斯血统，长着四只机械触角，态度恶劣。

该安全公司发现 Epsilon Red 运营商提供给这家美国公司的钱包地址包含价值约 210,000 美元的比特币，这种情况表明至少有一名受害者支付了赎金。

Epsilon Red 勒索软件是用 Go 编程语言编写的，它是人为操作的勒索软件，它是一种涉及 PowerShell 脚本的多阶段威胁。

“在攻击过程中，攻击者启动了一系列 PowerShell 脚本，编号为1.ps1到12.ps1（以及一些仅用字母表中的单个字母命名的脚本 ），为最终勒索软件准备了受攻击的机器有效载荷，并最终交付并启动它。” 阅读Sophos 发布的分析。

Sophos 研究人员认为，未打补丁的企业 Microsoft Exchange 服务器是最初的切入点，但目前尚不清楚攻击者是利用了ProxyLogon 漏洞还是其他漏洞。然后攻击者使用 WMI 将其他软件安装到目标网络中托管的机器上。

“PowerShell 编排本身是由名为RED.ps1的 PowerShell 脚本创建和触发的，该脚本使用 WMI 在目标计算机上执行。” 继续分析。“该脚本检索并解压到 system32 文件夹中的 .7z 存档文件，其中包含其余的 PowerShell 脚本、勒索软件可执行文件和另一个可执行文件。”

专家注意到，Epsilon Red投放的勒索信与使用过的REvil 勒索软件运营商类似，但语法错误较少。

专家注意到，勒索软件不包含目标文件类型列表，它会加密文件夹中的每个文件，并可能导致应用程序甚至整个操作系统无法运行。

勒索软件本身非常小，因为它实际上仅用于对目标系统上的文件进行加密。它不进行网络连接，而且由于诸如杀死进程或删除卷影副本之类的功能已外包给 PowerShell 脚本，因此它确实是一个非常简单的程序。

加密文件后，勒索软件会附加“ *. *epsilonred” 扩展名到文件名，并在每个文件夹中放置赎金票据。

该勒索软件利用 PowerShell 脚本修改防火墙规则以允许攻击者的远程连接、禁用或终止可能锁定文件以防止加密的进程、删除卷影副本以防止文件恢复、卸载安全软件并删除 Windows 事件日志，授予“所有人”组对每个驱动器号的访问权限。

“经过仔细检查，攻击者在访问目标网络后做的第一件事就是下载并安装 Remote Utilities 和 Tor 浏览器的副本，因此这似乎是一种让自己放心的方法，他们将有另一个立足点如果初始接入点被锁定。” 继续分析。

攻击者使用 Remote Utilities 商业解决方案来维持对受感染系统的访问，以防他们的初始入口点被关闭。

研究人员尚未发现 Epsilon Red 操作员与其他威胁行为者之间存在任何联系。