Ransomware Epsilon Red Baru Tertangkap Menjalankan Serangan Aktif

  • Whatsapp

Ancaman ransomware baru telah muncul secara online yang sudah aktif di alam liar. Diidentifikasi sebagai Epsilon Red, ransomware ini mengajukan tuntutan tebusan yang sangat besar dan telah menargetkan setidaknya satu organisasi AS.

Tentang Ransomware Epsilon Red

Para peneliti dari Sophos baru-baru ini berbagi wawasan tentang ransomware Epsilon Red di . mereka pos. Seperti yang dijelaskan, malware tersebut telah mengadopsi namanya dari antagonis X-Men Marvel Comics, Epsilon Red.

Mengenai malware, para peneliti menemukan itu ditulis dalam bahasa pemrograman Golang (Go). Strategi serangan mencakup beberapa skrip PowerShell unik yang membuka jalan bagi muatan yang sebenarnya. Strategi awal ini termasuk menonaktifkan program keamanan apa pun, menonaktifkan pencadangan, aplikasi Office, dan klien email, menghapus salinan Volume Shadow, mengekstrak hash kata sandi, menghapus Log Peristiwa, menangguhkan proses layanan lain, dan mendapatkan izin yang diperpanjang pada perangkat.

Kegiatan ini dimulai tepat setelah ransomware mencapai sistem target. Pada tahap akhir, muatan sebenarnya diunduh dan dijalankan. Tapi itu adalah file yang cukup kecil karena yang dilakukannya hanyalah enkripsi data. Mengenai muatan ini, peneliti menyatakan,

Ransomware itu sendiri, disebut RED.exe, adalah Windows 64-bit yang dapat dieksekusi yang diprogram dalam bahasa Go, dikompilasi menggunakan alat yang disebut MinGW, dan dikemas dengan versi modifikasi dari runtime packer UPX.

Ransomware tidak memiliki daftar target, yang berarti ia akan mengenkripsi semua data dalam folder yang ditemukannya. Ini bahkan termasuk file yang dapat dieksekusi dan DLL, yang dapat membuat proses yang berbeda tidak berfungsi. Padahal, itu terus mengganti nama file terenkripsi dengan menambahkan ekstensi “.epsilonred”. Setelah selesai, itu menempatkan catatan tebusan di setiap folder yang ditargetkan.

Meskipun ransomware ini baru menarik perhatian baru-baru ini, setidaknya ia menargetkan korban dari sektor perhotelan AS. Adapun titik masuknya, para peneliti menjelaskan bahwa itu mungkin mengeksploitasi server Microsoft Exchange yang rentan. Meskipun saat ini tidak jelas tentang bagaimana malware melakukan itu, eksploitasi ProxyLogon tidak dapat dikesampingkan.

Detail teknis tentang Epsilon Red tersedia di pos peneliti.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *