Especialistas de la firma de ciberseguridad Sophos han revelado la detección de una nueva variante de ransomware oculta en un conjunto de scripts PowerShell que abusan de las fallas presentes en los servidores Microsoft Exchange sin actualizar. Identificada como Epsilon Red, esta variante de malware de cifrado ya ha sido detectada en múltiples ataques contra empresas del sector hotelero con sede en Estados Unidos.
Una de las víctimas de estos ataques tuvo que pagar un rescate de casi 5 Bitcoin, lo que acorde al tipo de cambio actual equivale a casi 210 mil dólares.
El nombre de este software malicioso fue revelado por los mismos atacantes, y fue tomado de la serie de cómics de Marvel X-Men. En esta historia de ficción, Epsilon Red es un soldado ruso genéticamente modificado. Esta parece ser una analogía a la forma en que este malware puede extenderse a través de una red corporativa.
Al igual que otras variantes de ransomware, este es un ejecutable de Windows 64 escrito en lenguaje Go, aunque el método empleado para su entrega puede ser algo más complejo de lo común: “Este malware se basa en una serie de scripts PowerShell con el fin de preparar el sistema objetivo para la entrega de la carga útil final”, señala el reporte.
Sophos cree que este malware está vinculado a los desarrolladores de REvil, ya que la nota de rescate recuperada en los ataques de Epsilon Red detectados hasta el momento es muy similar a la que se ha visto en los más relevantes ataques de REvil, aunque corrigiendo algunas fallas gramaticales. Aún así, los investigadores especifican que no se han encontrado otras similitudes entre estos dos desarrollos maliciosos.
Como se menciona al inicio, los hackers usan una implementación de Microsoft Exchange como punto de entrada a los sistemas atacados, abusando de Windows Management Instrumentation para automatizar acciones en el sistema operativo. Aún no está claro si los hackers explotaron la conocida vulnerabilidad de Exchange PorxyLogon, que generó innumerables problemas para los administradores de Windows durante los primeros meses de 2021. No obstante, el servidor sin actualizar empleado en uno de los ataques detectados sí fue objeto de este ataque.
En este ataque, los actores de amenazas lanzaron una serie de scripts de PowerShell, así como algunos que fueron nombrados con una sola letra del alfabeto, para preparar las máquinas atacadas para la carga útil final. Finalmente, los expertos señalan que el ejecutable es un archivo diminuto dedicado solo al cifrado de los archivos infectados, por lo que no realizar conexiones de red ni ninguna otra función crítica.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
