Epsilon Red – Un nuovo ransomware su Microsoft exchange
Sophos, nostro partner per la sicurezza informatica, durante una indagine su un attacco ad una azienda americana operante nel settore alberghiero, ha scoperto un nuovo ransomware che attacca i server di Microsoft Exchange, sfruttando delle vulnerabilità che non sono state ancora corrette tramite patch. Epsilon Red si basa su un software di controllo remoto del desktop e utilizza più di dodici script per criptare le informazioni soggette all’attacco e deve il suo nome ad un personaggio della Marvel, un soldato spaziale russo armato di tentacoli in lotta contro Wolverine.
La porta d’accesso dell’attacco è stata probabilmente l’insieme di bug denominato ProxyLogon, scoperti tra dicembre 2020 e gennaio 2021 da Orange Tsai, un ricercatore di Devcore.
Il gruppo di esperti di sicurezza dopo aver scoperto il secondo bug che permetteva l’esecuzione remota di un’applicazione, ha prontamente inoltrato a Microsoft un report dove venivano elencate le due vulnerabilità scoperte, insieme ad un exploit per testare effettivamente la gravità dei due bug.
I know there are lots of people waiting for the recent Microsoft Exchange pre-auth RCE on our side. This is a short advisory and detailed timeline. https://t.co/lgpW7AVZZJ#proxylogon
— Orange Tsai 🍊 (@orange_8361) March 5, 2021
Una panoramica su Epsilon Red è stata rilasciata da Peter Mackenzie, manager del Rapid Response Team di Sophos, secondo il quale questo ransomware non sarebbe stato messo in giro da professionisti del settore, ma è stato etichettato comunque come un qualcosa di altamente dannoso dato che non sono state definite delle restrizioni sui tipi di file soggetti alla crittografia.
Ulteriori informazioni presso:
Se vuoi ulteriori informazioni sugli attacchi ramsomware e su come difendersi contattaci.
– Ugo Bonanniù
Marketing e Ecommerce Promigroup
