Sophos 發現勒索軟體市場的新面孔 ─ Epsilon Red

Epsilon Red 是一種精簡的勒索軟體，將大部分功能卸載到一系列 PowerShell 指令檔中。Sophos 在 2021 年 5 月中發現了 Epsilon Red。 

在文章《勒索軟體市場新面孔：Epsilon Red》中，Sophos 研究人員詳細介紹了 Epsilon Red 始作俑者使用的工具、技術和程序 (TTP) 以及攻擊者的行為。

Sophos 研究人員在 2021 年 5 月調查一起事件時首次發現 Epsilon Red。在一次人為操作的攻擊中，最後遞送的可執行裝載就是這一個勒索軟體。根據 Sophos 的分析，此次攻擊的所有其他元件都是使用 PowerShell 指令檔。

這些 PowerShell 指令檔包括：

• 執行指令來刪除受感染電腦的磁碟區陰影副本的指令碼，使受害者更難復原遭攻擊者加密的部分或全部檔案

• 用於解除安裝受感染電腦上的各種安全和備份程式的指令碼。它會尋找特定程式以及名稱中帶有「備份」或「雲端」等字樣的任何內容，然後試圖終止並解除安裝它們。如果發現某些正在運作中的處理程序會影響他們加密磁碟上的重要資料，攻擊者還會試圖停用或終止它們，例如資料庫服務、備份程式、Office 應用程式、電子郵件用戶端、QuickBooks，甚至是 Steam 遊戲平台

• 據 Sophos 研究人員表示，其中一個指令檔似乎是開源工具 Copy-VSS 的複製版，攻擊者使用該工具來擷取和破解儲存在電腦上的密碼

• 而另一個指令檔似乎是開源工具 EventCleaner 的編譯版本，可用於抹除或修改 Windows 事件日誌的內容。攻擊者利用它來刪除他們一切操作的痕跡

Epsilon Red 在受感染電腦留下的勒索註記和 REvil 勒索軟體類似，但更正了部份語法。 

攻擊者鼓勵受害者透過特定網站與他們聯繫。根據攻擊者提供的加密貨幣地址，至少有一名 Epsilon Red 的受害者支付了 4.29 BTC (約 21 萬美元) 的贖金。 

Sophos Rapid Response 團隊經理 Peter Mackenzie 表示：

「Epsilon Red 是一種有意思的新型勒索軟體。實際的勒索軟體檔案本身非常精簡，可能是因為它已將其他工作 (如刪除備份) 卸載到 PowerShell 指令檔去了。它實際上只會加密檔案，而且不會精確鎖定對象。意思是如果它要加密一個資料夾，就會直接加密該資料夾中的所有檔案。不幸的是，這代表其他可執行檔和動態連結程式庫 (DLL) 也會被加密，可能會導致重要的執行中程式或整個系統停擺。因此，被攻擊的電腦需要完全重建。

「Sophos 對攻擊者行為的分析表明，他們可能對這些工具的可靠性或攻擊能否成功缺乏信心，因此他們採取了一些替代方案和備份計畫以防萬一。例如，在攻擊序列早期，攻擊者會下載並安裝遠端桌面軟體 Remote Utilities 和 Tor 瀏覽器的副本，這可能是為了在初始進入點被封鎖後確保另一個立足點。還有在其他情況中，我們看到攻擊者發出多餘的命令，使用稍微不同的方法來完成同一件事，例如刪除處理程序和備份。防止 Epsilon Red 等勒索軟體入侵的最佳方法，就是確保已經完全修補好伺服器，而且您的安全解決方案可以偵測並阻擋任何可疑和加密檔案的行為。」

如需了解 Epsilon Red 的更多資訊，請閱讀 SophosLabs Uncut 的文章

Sophos 端點產品 (例如 Intercept X) 可透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者。CryptoGuard 則可阻止試圖加密檔案的行為。

其他資源 

• 如需了解攻擊者的行為以及策略、技術和程序 (TTP) 的更多資訊，請參見 Sophos 《2021 年主動攻擊者的劇本》。

• 閱讀《2021 年勒索軟體現況》，了解過去一年的全球勒索軟體現貌

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示 

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹。

隨時和 Sophos 連線：Twitter、LinkedIn、Facebook、Spiceworks 和 YouTube