Ancaman ransomware baru yang menamakan dirinya Epsilon Red telah terlihat memanfaatkan kerentanan server Microsoft Exchange untuk mengenkripsi mesin di seluruh jaringan.
Serangan ransomware Epsilon Red mengandalkan lebih dari selusin skrip sebelum mencapai tahap enkripsi dan juga menggunakan utilitas desktop jarak jauh komersial.
Penanggap insiden di perusahaan keamanan siber Sophos menemukan ransomware Epsilon Red baru selama seminggu terakhir saat menyelidiki serangan di perusahaan AS yang cukup besar di sektor perhotelan.
Para peneliti menemukan bahwa pelaku ancaman melanggar jaringan perusahaan dengan mengeksploitasi kerentanan yang belum ditambal di server Microsoft Exchange lokal.
Andrew Brandt, peneliti utama di Sophos, mengatakan dalam sebuah laporan hari ini bahwa penyerang mungkin telah memanfaatkan rangkaian kerentanan ProxyLogon untuk menjangkau mesin di jaringan.
Epsilon Red ditulis dalam Golang (Go) dan didahului oleh serangkaian skrip PowerShell unik yang mempersiapkan dasar untuk rutinitas enkripsi file, masing-masing memiliki tujuan tertentu:
- menghentikan proses dan layanan untuk alat keamanan, database, program cadangan, aplikasi Office, klien email
- menghapus Volume Shadow Copies
- mencuri file Pengelola Akun Keamanan (SAM) yang berisi potongan sandi
- menghapus Windows Event Logs
- menonaktifkan Windows Defender
- menangguhkan proses
- menghapus instalan alat keamanan (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
- memperluas izin pada sistem
Selengkapnya: Bleeping Computer
