新ランサムウェア「Epsilon Red」が登場、未パッチのMicrosoft Exchangeサーバーを狙って攻撃。アンチウィルスなどもアンインストールして暗号化

news

「Red Epsilon」と名乗る新たなランサムウェアがMicrosoft Exchangeサーバの脆弱性を利用して企業のデータを暗号化していることが判明しました。

Epsilon Redランサムウェアは、暗号化を行うまでに十数個のスクリプトを使用し、市販のリモートデスクトップユーティリティーも使用することがわかっています。

脆弱性のあるMicrosoft Exchangeサーバを攻撃

サイバーセキュリティ企業であるSophos社のインシデント担当者は、米国のホスピタリティ分野における大企業への攻撃を調査している際、新しいランサムウェア「Epsilon Red」を発見しました。

A new ransomware enters the fray: Epsilon Red
A bare-bones ransomware offloads most of its functionality to a cache of PowerShell scripts
news.sophos.com

Sophos社は攻撃者が、パッチされていない脆弱性を持つオンプレミスのMicrosoft Exchangeサーバの利用して、企業ネットワークに侵入したことを発見しています。

Sophos社の主席研究員であるアンドリュー・ブラントは、攻撃者がネットワーク上のサーバにアクセスするためにProxyLogonの一連の脆弱性を利用した可能性があると述べています。

バグ公開後数分で攻撃者は脆弱なデバイスをスキャン開始していることが発覚:企業のスキャン速度は12時間。どちらが先に見つけるのが早いか

Microsoft ExchangeサーバのProxyLogonの脆弱性は、ウェブ上で脆弱なデバイスをスキャンしてシステムを危険にさらす要素として攻撃者に有効な攻撃対象であると知れ渡っている脆弱性です

本脆弱性はかなり重大な問題であったため、世界中の企業がパッチのインストールを急ぎ、1ヶ月足らずで脆弱なオンプレミスのMicrosoft Exchangeサーバの約92%が更新をしたとしています。

侵入後はアンチウィルスなどをアンインストール、商用のリモートデスクトップもインストール

Epsilon RedはGolang(Go)で記述されており、ファイル暗号化処理のための準備を行う独自のPowerShellスクリプトのセットが先行しており、それぞれが特定の目的を持って動作しています。

  • セキュリティツール、データベース、バックアッププログラム、Officeアプリ、メールクライアントのプロセスやサービスを停止
  • ボリュームシャドウコピーの削除
  • パスワードハッシュを含むSAM(Security Account Manager)ファイルの盗用
  • Windowsイベントログの削除
  • Windows Defenderの無効化
  • プロセスの一時停止
  • セキュリティツール(Sophos、Trend Micro、Cylance、MalwareBytes、Sentinel One、Vipre、Webroot)のアンインストール
  • システムのパーミッションの拡張

ほとんどのスクリプトには1~12の番号が付いていますが、中には1文字の名前が付いているものもあります。そのうちの1つである「c.ps1」はペネトレーションテストツールCopy-VSSのクローンと思われます。

https://github.com/samratashok/nishang/blob/master/Gather/Copy-VSS.ps1
github.com

ネットワークに侵入したハッカーは、RDPを介してサーバに到達し、Windows Management Instrumentation(WMI)を使用してソフトウェアをインストールし、最終的にEpsilon Redの実行ファイルを展開するPowerShellスクリプトを実行します。

典型的なスケジュールタスクコマンドは以下のコマンドが実行されたようです

C:\Windows\system32\schtasks.exe /create /tn Microsoft\Windows\TASK12 /tr "powershell -file c:\windows\system32\RED\12.ps1" /sc minute /mo 2 /ru SYSTEM /f 

Sophos社は、この攻撃者がリモートデスクトップ商用ソフトウェアであるRemote UtilitiesやTorブラウザもインストールしていることに気付きました。これは最初の侵入口からのアクセスができなくなっても、別の経路からアクセスできるようにするためです。

Remote Desktop Software | Remote Utilities
Remote desktop software with direct and cloud connection. Self-hosted server available. Active Directory support.
www.remoteutilities.com

REvilランサム方式を採用

Sophos Rapid ResponseチームのマネージャーであるPeter Mackenzie氏は「このEpsilon Redは専門家の仕業ではないようだがファイルタイプやフォルダの暗号化に制限がないため、かなりの混乱を引き起こす可能性がある」と述べています。

このEpsilon Redには、ファイルやフォルダの暗号化以外の機能はほとんどありませんが、ファイルシステム上のディレクトリツリーを一覧表示するためのライブラリであるオープンソースツール「godirwalk」のコードが含まれています。

この機能によりEpsilon Redはハードディスクをスキャンして、サブフォルダを個別に暗号化するプロセスの宛先リストにディレクトリパスを追加することができます。最終的に、感染したマシンはランサムウェアのプロセスのコピーを大量に実行します。

またEpsilon Redは対象となるフォルダ内のすべてのファイルに「.epsilonred」という拡張子を付けて暗号化しますが、重要なプログラムやオペレーティング・システムを破壊する可能性のある実行ファイルやDLLは暗号化を避けています

典型的なランサムウェアの手法として、Epsilon Redは処理された各フォルダにデータ復号化の価格を交渉するために攻撃者に連絡する方法を記した身代金請求書を格納します。

この手法はREvilランサムウェアで使用されたランサムノートを改良したものを使用していますが、Epsilon Redはロシアのランサムウェアグループが元々持っていた文法や綴りの間違いを修正しています。

このランサムウェアグループの出どころは今のところ不明ですが、名前の由来はマーベルのスーパーソルジャーであることがわかっています。Epsilon Redはマーベルの世界ではあまり知られていないキャラクターですが、4本の触手を持ち宇宙で呼吸できるロシアのスーパーソルジャーです。

ランサムウェアの分野では新しいものであるにもかかわらず、Epsilon Redのランサムウェアグループはすでに複数の企業を攻撃しており、複数のサイバーセキュリティ企業が事件を調査しています。

Sophos社の調べによると、このランサムウェアの脅威にさらされた被害者は5月15日に4.28BTC(約2100万円=21万ドル)を攻撃者に支払っていることが判明しています

Comments

Copied title and URL