{"id":254180,"date":"2021-06-01T01:19:14","date_gmt":"2021-05-31T23:19:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254180"},"modified":"2021-06-01T01:33:36","modified_gmt":"2021-05-31T23:33:36","slug":"epsilon-red-ransomware-zielt-auf-ungepatchte-exchange-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/01\/epsilon-red-ransomware-zielt-auf-ungepatchte-exchange-server\/","title":{"rendered":"Epsilon Red Ransomware zielt auf ungepatchte Exchange Server"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/06\/01\/epsilon-red-ransomware-zielt-auf-ungepatchte-exchange-server\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurze Warnung an Administratoren von Microsoft Exchange Servern. Bei der Untersuchung eines Angriffs auf ein gr\u00f6\u00dferes US-amerikanisches Unternehmen aus dem Bereich des Gastgewerbe hat das Sicherheitsunternehmen Sophos eine neue Epsilon Red genannte Ransomware entdeckt. Red Epsilon nutzt ungepatchte Schwachstellen in Microsoft Exchange-Servern aus, um Rechner im Netzwerk zu infizieren und dann dort Dateien zu verschl\u00fcsseln.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/1f4eb2bddeb44340bd2213facdc20a41\" alt=\"\" width=\"1\" height=\"1\" \/>In <a href=\"https:\/\/news.sophos.com\/en-us\/2021\/05\/28\/epsilonred\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> berichten die Sicherheitsforscher von Sophos \u00fcber die vor einigen Tagen entdeckte neue Ransomware, die in der Programmiersprache Go geschrieben wurde und sich Epsilon Red nennt. Der Name Epsilon Red ist ein Verweis auf die Popkultur. Die Figur Epsilon Red war ein relativ obskurer Gegner einiger X-Men im erweiterten Marvel-Universum, ein \"Supersoldat\", der angeblich russischer Herkunft war und vier mechanische Tentakel und einen schlechten Charakter hatte.<\/p>\n<h2>Analyse der Epsilon Red Ransomware<\/h2>\n<p>Bei der Analyse der Infektion in einem US-Unternehmen stellten die Analysten fest, dass die Malware als letzte ausf\u00fchrbare Nutzlast in einem handgesteuerten Angriff ausgeliefert wurde. W\u00e4hrend des Angriffs starteten die Bedrohungsakteure eine Reihe von PowerShell-Skripten mit den Namen <em>1.ps1 <\/em>bis <em>12.ps1 <\/em>(sowie einige, die nur mit einem einzigen Buchstaben aus dem Alphabet benannt waren). Aufgabe dieser PowerShell-Scripte war es, die angegriffenen Computer auf die endg\u00fcltige Ransomware-Nutzlast vorbereiteten und diese schlie\u00dflich herunterzuladen und zu installieren.<\/p>\n<p><img decoding=\"async\" title=\"Epsilon Red Dateien\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2021\/05\/epsilonred-files-in-folder.png\" alt=\"Epsilon Red Dateien\" \/><br \/>\nEpsilon Red Dateien, Quelle: Sophos<\/p>\n<p>Die PowerShell-Scriptfolge wurde vom PowerShell-Skript <em>RED.ps1 erstellt <\/em>und dann auf den Zielcomputern mithilfe von WMI ausgef\u00fchrt. Das Skript ruft eine .7z-Archivdatei vom Control-Server ab, die die restlichen PowerShell-Skripte, die ausf\u00fchrbare Datei der Ransomware und eine weitere ausf\u00fchrbare Datei enth\u00e4lt. Diese Dateien werden dann in den Windows-Ordner <em>system32 <\/em>entpackt. Das PowerShell-Script\u00a0 richtet au\u00dferdem geplante Aufgaben ein, die die Skripte mit den Nummern 1 bis 12 ausf\u00fchren, \u00fcberspringt aber die Nummern 7 und 8. Es erstellt au\u00dferdem Aufgaben f\u00fcr Skripte mit den Namen \"S\" und \"C\".<\/p>\n<h2>Exchange vermutlich das Einfallstor<\/h2>\n<p>Die Sicherheitsanalysten schreiben, dass es so ausschaut, dass ein Microsoft Exchange-Server des Unternehmens der urspr\u00fcngliche Einstiegspunkt der Angreifer in das Unternehmensnetzwerk war. Es ist nicht klar, ob dies durch den ProxyLogon Exploit oder eine andere Schwachstelle erm\u00f6glicht wurde, aber es scheint wahrscheinlich, dass die Ursache ein ungepatchter Server war. Von diesem Rechner aus nutzten die Angreifer WMI, um andere Software auf Rechnern innerhalb des Netzwerks zu installieren, die sie \u00fcber den Exchange-Server erreichen konnten.<\/p>\n<h2>Ransomware recht kompakt<\/h2>\n<p>Die Ransomware selbst ist recht kompakt, da sie lediglich die Verschl\u00fcsselung der Dateien auf dem Zielsystem durchzuf\u00fchren soll. Es werden keine Netzwerkverbindungen hergestellt. Funktionen wie das Killen von Prozessen oder das L\u00f6schen der Volume Shadow Copies wurden an die PowerShell-Skripte ausgelagert.<\/p>\n<p>Das Programm verschl\u00fcsselt alle Dateien, die sich in den zu verschl\u00fcsselnden Ordnern befinden. Das betrifft auch ausf\u00fchrbarer Dateien und DLLs, was dazu f\u00fchren kann, dass Programme oder das gesamte System nicht mehr funktionieren. Nachdem eine Datei verschl\u00fcsselt wurde, wird der Dateisuffix \".epsilonred\" an die Dateinamen angef\u00fcgt. Die Ransomware legt in jedem Ordner eine L\u00f6segeldforderung ab. Die L\u00f6segeldforderung \u00e4hnelt stark der von REvil. Allerdings fehlen die bei REvil-Texten typischerweise enthaltenen Rechtschreib- und Grammatikfehlern. Offenbar wurde das von Epsilon Red \u00fcbermittelte Erpresserschreiben ein paar Mal bearbeitet, um den Text f\u00fcr ein Publikum mit englischen Muttersprachlern lesbarer zu machen. Weitere Details lassen sich im <a href=\"https:\/\/news.sophos.com\/en-us\/2021\/05\/28\/epsilonred\/\" target=\"_blank\" rel=\"noopener\">Sophos-Artike<\/a>l nachlesen. (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-epsilon-red-ransomware-hunts-unpatched-microsoft-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Warnung an Administratoren von Microsoft Exchange Servern. Bei der Untersuchung eines Angriffs auf ein gr\u00f6\u00dferes US-amerikanisches Unternehmen aus dem Bereich des Gastgewerbe hat das Sicherheitsunternehmen Sophos eine neue Epsilon Red genannte Ransomware entdeckt. Red Epsilon nutzt ungepatchte Schwachstellen in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/06\/01\/epsilon-red-ransomware-zielt-auf-ungepatchte-exchange-server\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[5359,4328],"class_list":["post-254180","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=254180"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254180\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=254180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=254180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=254180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}