Microsoft ha rilasciato diverse patch per risolvere le vulnerabilità scoperte in Exchange Server, quindi la maggioranza degli utenti dovrebbe essere al sicuro. Gli esperti di Sophos hanno tuttavia scoperto un nuovo ransomware, denominato Epsilon Red, che colpisce i server non ancora protetti.
Epsilon Red: ransomware per Exchange
Il malware in questione è stato distribuito come payload finale di un attacco effettuato contro un’azienda statunitense che opera nel settore dell’ospitalità. L’accesso alle rete interna è avvenuto sfruttando probabilmente le vulnerabilità note, come ProxyLogon, di Microsoft Exchange. Epsilon Red è scritto in linguaggio Go. Prima di cifrare file e cartelle, gli autori dell’attacco “preparano il terreno” con una serie di script PowerShell.
Questi script eseguono una serie di azioni, tra cui la chiusura di processi e servizi di antivirus, database, app Office e software di backup, la cancellazione delle copie shadow del volume e del log degli eventi di Windows, la disattivazione di Microsoft Defender e la disinstallazione di varie soluzioni di sicurezza.
I cybercriminali entrano nella rete con Remote Desktop Protocol e usano WMI (Windows Management Instrumentation) per installare software ed eseguite gli script PowerShell. Dopo aver completato la cifratura dei file, la vittima vede le istruzioni per contattare gli autori dell’attacco. Sophons ha scoperto che almeno una vittima ha pagato un riscatto di 4,29 Bitcoin il 15 maggio, corrispondenti a circa 210.000 dollari. Ovviamente il consiglio è installare al più presto le patch distribuite da Microsoft.