Sophos發現勒索軟體市場的新面孔─Epsilon Red

Epsilon Red是一種精簡的勒索軟體,將大部分功能卸載到一系列PowerShell指令檔中。Sophos在2021年5月中發現了Epsilon Red。 

Epsilon Red是一種精簡的勒索軟體,將大部分功能卸載到一系列PowerShell指令檔中。Sophos在2021年5月中發現了Epsilon Red。

在文章《勒索軟體市場新面孔:Epsilon Red》中,Sophos研究人員詳細介紹了Epsilon Red始作俑者使用的工具、技術和程序(TTP)以及攻擊者的行為。

Sophos研究人員在2021年 5月調查一起事件時首次發現Epsilon Red。在一次人為操作的攻擊中,最後遞送的可執行裝載就是這一個勒索軟體。根據Sophos的分析,此次攻擊的所有其他元件都是使用PowerShell指令檔。

這些PowerShell指令檔包括:

  • 執行指令來刪除受感染電腦的磁碟區陰影副本的指令碼,使受害者更難復原遭攻擊者加密的部分或全部檔案
  • 用於解除安裝受感染電腦上的各種安全和備份程式的指令碼。它會尋找特定程式以及名稱中帶有「備份」或「雲端」等字樣的任何內容,然後試圖終止並解除安裝它們。如果發現某些正在運作中的處理程序會影響他們加密磁碟上的重要資料,攻擊者還會試圖停用或終止它們,例如資料庫服務、備份程式、Office 應用程式、電子郵件用戶端、QuickBooks,甚至是Steam遊戲平台
  • 據Sophos研究人員表示,其中一個指令檔似乎是開源工具Copy-VSS的複製版,攻擊者使用該工具來擷取和破解儲存在電腦上的密碼
  • 而另一個指令檔似乎是開源工具EventCleaner的編譯版本,可用於抹除或修改Windows事件日誌的內容。攻擊者利用它來刪除他們一切操作的痕跡

Epsilon Red在受感染電腦留下的勒索註記和REvil勒索軟體類似,但更正了部份語法。

攻擊者鼓勵受害者透過特定網站與他們聯繫。根據攻擊者提供的加密貨幣地址,至少有一名Epsilon Red的受害者支付了4.29 BTC (約 21 萬美元) 的贖金。

Sophos Rapid Response團隊經理Peter Mackenzie表示:

「Epsilon Red是一種有意思的新型勒索軟體。實際的勒索軟體檔案本身非常精簡,可能是因為它已將其他工作 (如刪除備份) 卸載到PowerShell指令檔去了。它實際上只會加密檔案,而且不會精確鎖定對象。意思是如果它要加密一個資料夾,就會直接加密該資料夾中的所有檔案。不幸的是,這代表其他可執行檔和動態連結程式庫 (DLL) 也會被加密,可能會導致重要的執行中程式或整個系統停擺。因此,被攻擊的電腦需要完全重建。

「Sophos對攻擊者行為的分析表明,他們可能對這些工具的可靠性或攻擊能否成功缺乏信心,因此他們採取了一些替代方案和備份計畫以防萬一。例如,在攻擊序列早期,攻擊者會下載並安裝遠端桌面軟體 Remote Utilities 和 Tor 瀏覽器的副本,這可能是為了在初始進入點被封鎖後確保另一個立足點。還有在其他情況中,我們看到攻擊者發出多餘的命令,使用稍微不同的方法來完成同一件事,例如刪除處理程序和備份。防止Epsilon Red等勒索軟體入侵的最佳方法,就是確保已經完全修補好伺服器,而且您的安全解決方案可以偵測並阻擋任何可疑和加密檔案的行為。

Sophos端點產品(例如Intercept X)可透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者。CryptoGuard則可阻止試圖加密檔案的行為。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416