La vicenda legata a Proxylogon, l'insieme di vulnerabilità che affliggono i server Microsoft Exchange e che sono state usate per violare vittime di alto livello (ma non solo), pare essere ancora lontana dal trovare una soluzione. Paradossalmente, perché le 4 vulnerabilità che costituiscono ProxyLogon sono state già risolte da Microsoft ormai tempo fa: il problema quindi, di nuovo, sta nel fatto che gli utenti non installano la patch. La situazione si è fatta così grave e preoccupante, sia per la tipologia che per il numero di attacchi portati sfruttando ProxyLogon, da aver obbligato qualche tempo fa l'NSA a intervenire in prima persona rimuovendo le web shell dai server compromessi addirittura senza avvisare i proprietari.
Per approfondire > Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari
ProxyLogon è stato ampliamente pubblicizzato e, una volta capite le potenzialità di queste falle, cyber criminali in tutto il mondo hanno iniziato a scansionare a tappeto il web in cerca di server che mostrassero queste vulnerabilità. Il perché è semplice: ProxyLogon è una vera e propria porta aperta sui server Microsoft e può essere sfruttata (e già lo è) per portare svariate tipologie di attacchi, ransomware compresi. E qui che entrano in gioco DearCry e, la scorsa settimana, Red Epsilon.
Il primo attacco con Red Epsilon è stato individuato la scorsa settimana dai ricercatori di sicurezza di Sophos, che hanno scoperto che un attore esterno illegittimo era riuscito ad accedere alla rete aziendale di un loro cliente sfruttando appunto il set di vulnerabilità ProxyLogon. Le analisi hanno permesso di scoprire che Red Epsilon è scritto in linguaggio GO e che la sua esecuzione è preceduta da un set unico di 12 script Powershell che hanno lo scopo di preparare il terreno alla criptazione di routine. Questi script hanno infatti specifici scopi:
- terminare processi e servizi relativi a tool di sicurezza, database, programmi di backup, applicativi Office, client Email;
- cancellare le Volume Shadow Copies per impedire il ripristino dei dati;
- rubare il file Security Account Manager contenente gli hash delle password;
- cancellare i log degli Eventi di Windows;
- disabilitare Windows Defender;
- sospendere processi;
- disinstallare tool di sicurezza;
- espandere le permissioni sul sistema.
Uno di questi 12 script sembra un clone del tool per il penetration testing Copy-VSS
Script ed eseguibili di Red Epsilon. Fonte: Sophos |
Una volta entrati nella rete, gli attaccanti usano il RDP e il Windows Management Instrumentation (WMI) per installare software ed eseguire gli script Powershell: solo alla fine viene distribuito l'eseguibile di Red Epsilon. Contestualmente a queste operazioni, gli attaccanti installano anche Remote Utilities, un software commerciale per operazioni di desktop remoto, e Tor Browser: con questi ultimi passaggi gli attaccanti si garantiscono una porta aperta da sfruttare anche nel caso dovessero perdere il punto di ingresso iniziale.
Come tutti i ransomware, Red Epsilon copia la nota di riscatto in ogni cartella contenente file criptati: nella nota vi sono le istruzioni per contattare gli attaccanti e negoziare un prezzo per il tool di decriptazione. La nota di riscatto appare molto molto simile a quella usata dal famigerato ransomware REvil. Le uniche differenze sono legate al fatto che i gestori di Red Epsilon hanno corretto alcuni errori sintattici e grammaticali commessi dalla banda di REvil, che si suppone essere di lingua russa.
Fonte: bleepingcomputer.com |
Ad ora figurano, sul conto Bitcoin degli attaccanti, già vari pagamenti, il più alto dei quali equivale a circa 210.00 dollari: non male per un ransomware attivo da meno di 10 giorni.
Nessun commento:
Posta un commento