Очередные злоумышленники стали авторами серии вредоносных скриптов PowerShell, которые применяются для использования уязвимостей корпоративных сетей. Программа-вымогатель шифрует файлы и использует бреши в необновлённых версиях Exchange Server.
Специалисты компании Sophos нашли новое приложение-вымогатель под названием Epsilon Red в процессе расследования атаки на сеть американских гостиниц. Такое поэтичное название было взято из комиксов «Люди Икс».
Вирус представляет собой простой исполняемый 64-разрядный файл Windows, написанный на языке программирования Go. Зато процесс его распространения не такой простой и основан на скриптах PowerShell. Они подготавливают инфицированные компьютеры к загрузке финальной программы-вымогателя и её запуску.
Есть свидетельства того, что автор тот же, что и у вымогателя REvil. В частности, это общие черты записок с требованием выкупа, в последних из которых были исправлены некоторые грамматические ошибки. По данным Sophos, жертва атаки вымогателя 15 мая заплатила выкуп в размере 4,29 биткоина. По курсу на тот момент это составляло $210000.
Злоумышленники задействовали Windows Management Instrumentation (WMI) для установки дополнительных вредоносных компонентов на компьютеры в заражённой сети, к которым получили доступ через сервер Exchange. Неизвестно, была ли это известная уязвимость ProxyLogon, о которой сообщалось в начале года.
В скриптах используется достаточно простая форма обфускации. Она не помешала выполнить анализ специалистам Sophos, но всё же позволяет избежать обнаружения антивирусами.
Файл RED.exe был создан с помощью MinGW и упакован модифицированной версией упаковщика среды выполнения UPX. Внутри находится код из проекта на GitHub под названием godirwalk, который позволяет сканировать жёсткий диск на предмет путей к каталогам и создавать их список.