Nuevas superficies de cepas de Barebones Ransomware



Los autores de Epsilon Purple han descargado muchas tareas que generalmente están integradas en el ransomware, como la eliminación de instantáneas de volumen, a los scripts de PowerShell.

Los investigadores de Sophos Labs han detectado una nueva cepa de ransomware que, según dicen, es noteworthy por su funcionalidad reducida y uso intensivo en lugar de scripts de PowerShell para llevar a cabo una variedad de funciones maliciosas.

En un nuevo informe, Sophos describe la observación reciente de que el ransomware, llamado Epsilon Red, se entregó como un ejecutable ultimate en un ataque práctico contra una organización con sede en EE. UU. En el sector de la hospitalidad. Los datos disponibles sugieren que al menos una víctima de Epsilon Crimson pagó un rescate de alrededor de $ 210,000 en Bitcoin a mediados de mayo.

Según Sophos, Epsilon Crimson se destaca por el hecho de que la mayoría de sus componentes iniciales son scripts de PowerShell. El componente de ransomware en sí es un ejecutable básico de 64 bits escrito en el lenguaje de programación Go. Su única función es cifrar archivos en el sistema de destino. El componente de ransomware no realiza conexiones de purple ni ejecuta funciones que a menudo están integradas en otras variedades de ransomware. Por ejemplo, funciones como la eliminación de instantáneas de volumen y la eliminación de procesos se han descargado en los scripts de PowerShell.

Andrew Brandt, investigador principal de Sophos, dice que el objetivo del atacante es hacer que Epsilon Pink y sus actividades sean más difíciles de detectar. «Si divide la actividad del ransomware en un montón de tareas benignas regulares, se vuelve más difícil para los defensores identificarlos como conectados entre sí y con actividades maliciosas», dice. «Cuando descargan el contexto de cosas como &#39eliminar instantáneas de volumen&#39 en pedazos, se vuelve menos sospechoso para las herramientas de seguridad de endpoints basadas en el comportamiento». Por ejemplo, una herramienta de detección de malware podría simplemente tratar la actividad de Instantáneas de volumen como benigna porque no está específicamente vinculada a otros comportamientos maliciosos.

El ataque a la organización con sede en Estados Unidos que Sophos observó parece haber comenzado con un Microsoft Exchange Server susceptible. No está claro si los atacantes explotaron las vulnerabilidades de ProxyLogon recientemente reveladas en Exchange Server para obtener acceso no autenticado o si se aprovecharon de otras fallas, dice Sophos.

Desde su punto de entrada inicial, los atacantes utilizaron Windows Administration Instrumentation (WMI) para instalar software program adicional para descargar el ransomware en todos los demás sistemas a los que podían acceder desde Trade Server. Durante el ataque, los actores de amenazas utilizaron más de una docena de scripts de PowerShell, incluidos los para eliminar las instantáneas de volumen y para copiar la Administración de cuentas de seguridad de Windows (SAM) para poder recuperar las contraseñas almacenadas en la computadora.

El análisis de Sophos de Epsilon Purple mostró que el binario de ransomware en sí no incluye una lista de archivos y extensiones específicos. En cambio, parece diseñado para cifrar todo en un sistema de destino, incluidas las bibliotecas de vínculos dinámicos (DLL) cruciales y las extensiones necesarias para mantener el sistema funcional. Eso es muy diferente de la mayoría de las familias maduras de ransomware donde el binario de ransomware contiene explícitamente lógica para excluir DLL y archivos ejecutables del cifrado.

«Los actores de amenazas de ransomware saben que no es possible que se les pague si nadie puede ver su nota de rescate, porque la computadora no se puede arrancar», dice. «Ha habido un consenso basic de que cifrar archivos ejecutables y DLL es malo para los negocios». Dado que Epsilon Pink no parece hacer esa distinción, existe la posibilidad de que el malware haga que un sistema infectado no pueda arrancar. En estas situaciones, incluso si el atacante entregara una herramienta de descifrado, es probable que la víctima no pudiera ejecutarla en esa computadora, dice Brandt.

Una tendencia en evolución
La campaña de ransomware Epsilon Purple es típica de muchas otras recientemente en las que los atacantes han confiado en gran medida en intérpretes de comandos y scripts como Windows Command Shell y PowerShell para ejecutar scripts, comandos y binarios. Un análisis reciente de datos de amenazas de redes de clientes que realizó Crimson Canary mostró que el 48,7% de los clientes experimentaron un ataque donde se utilizó PowerShell y el 38,4% un ataque que involucró Home windows Command Shell. Pink Canary descubrió que los atacantes generalmente usaban PowerShell para tareas como la ofuscación de malware, la ejecución de comandos maliciosos y la descarga de cargas útiles adicionales.

«Ciertamente hemos visto que PowerShell se united states con WMIC (línea de comandos WMI) y aplicaciones potencialmente no deseadas, como herramientas de prueba de penetración», dice Brandt, «o software program de acceso remoto para unir una estrategia de ataque y pivote con múltiples atacantes en el pasado. año.»

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique