I ricercatori di Sophos hanno individuato un nuovo malware Epsilon Red impiegato come payload in un attacco contro un'azienda statunitense del settore hospitality. Sono molti i motivi i per i quali questa nuova minaccia informatica ha attirato l'attenzione.

Il primo è il legame con i server Microsoft Exchange esposti. Nell'attacco analizzato dagli esperti, sembra che il punto d'ingresso iniziale dell'attacco sia stato un server Microsoft Exchange esposto; non è chiaro tuttavia se sia stato impiegato l'exploit ProxyLogon o se la vulnerabilità sfruttata sia stata differente.

Il secondo punto di attenzione riguarda i movimenti laterali. A quanto pare gli attaccanti hanno usato una serie di script PowerShell per installare altro software malevolo nei computer all'interno della rete, raggiungibili dal server Exchange. Tali script erano numerati da 1.ps1 a 12.ps1 e hanno avuto la funzione di preparare le macchine attaccate per il payload finale, ossia un ransomware che è stato consegnato e avviato con successo. 

Per rendere l'idea delle funzioni di questi script, lo script 2.ps1 serviva a eliminare le copie shadow del volume dal computer target. Un altro era un clone di uno strumento open source denominato Copy-VSS, che è parte di una suite di strumenti di penetration test usato per recuperare e decifrare le password salvate nel computer.

Gli analisti di Sophos reputano che dietro a questi script possa esserci il gruppo REvil. Non è certo perché gli indizi sono pochi e risiedono per lo più nella richiesta di riscatto depositata sui computer infetti. È identica a quelle usate d'abitudine dai cyber criminali di questo gruppo, salvo il fatto che è grammaticalmente corretta nella lingua ingelse.  

Una curiosità riguarda il nome. Non è stato coniato dai ricercatori, ma dagli stessi attaccanti ed è un omaggio all'omonimo personaggio avversario di alcuni degli X-Men dell'universo Marvel. Si tratta di un personaggio oscuro, una sorta di super soldato che si presume fosse di origine russa, con quattro tentacoli meccanici e un atteggiamento minaccioso. Secondo i ricercatori Sophos questa immagine sembra rappresentare il modo in cui il ransomware diffonde i suoi artigli in una rete aziendale.

Un attacco sofisticato

Il malware di per sé è un eseguibile Windows a 64 bit "bare-bones" scritto nel linguaggio di programmazione Go. Il suo sistema di delivery si basa appunto su una serie di script PowerShell, che sfruttano una "forma rudimentale di offuscamento" che non è servita a ostacolare il lavoro dei ricercatori di Sophos. Tuttavia, a detta di questi ultimi "potrebbe essere abbastanza efficace da eludere il rilevamento di uno strumento anti-malware che scansiona i file sul disco rigido, e questo è tutto ciò di cui gli aggressori hanno bisogno".

Il ransomware stesso è un file chiamato RED.exe, che viene compilato utilizzando uno strumento chiamato MinGW arricchito con una versione modificata del runtime packer UPX. Il payload include del codice di un progetto open source su GitHub chiamato "godirwalk", che gli consente di scansionare il disco rigido su cui è in esecuzione per individuare i percorsi di directory e compilare un relativo elenco.

Il ransomware genera quindi un nuovo processo che crittografa separatamente ciascuna sottocartella e genera copie del processo ransomware in esecuzione. È quindi chiaro che l'eseguibile è di per sé un semplice programma che ha unicamente la funzione di cifratura. Le connessioni di rete, le funzioni critiche e altro sono tutti dati in carico agli script di PowerShell. Considerato il punto di ingresso, la protezione più efficace è l'aggiornamento dei server Exchange.