Los analistas de Sophos descubrieron un nuevo ransomware escrito en el lenguaje de programación Go que se llama a sí mismo Epsilon Red. El malware se entregó como la carga útil ejecutable final en un ataque controlado manualmente contra una empresa con sede en EEUU del sector hotelero en la que todos los demás componentes de la etapa inicial eran un script de PowerShell.
Según la dirección de la criptomoneda proporcionada por los atacantes, parece que al menos una de sus víctimas pagó un rescate de 4.29 BTC el 15 de mayo (valorado en aproximadamente 210.000 $ en esa fecha).
Si bien el nombre y las herramientas eran exclusivos de este atacante, la nota de rescate dejada en los ordenadores infectados, se parece a la nota dejada por el ransomware REvil, pero agrega algunas correcciones gramaticales. No existen otras similitudes obvias entre el ransomware Epsilon Red y REvil.
Parece que un servidor Microsoft Exchange de la empresa fue el punto inicial de entrada de los atacantes. No está claro si este fue habilitado por el exploit ProxyLogon u otra vulnerabilidad, pero parece probable que la causa principal fuera un servidor sin parches. Desde esa máquina, los atacantes utilizaron WMI para instalar otro software en las máquinas dentro de la red a las que podían acceder desde el servidor de Exchange.
El nombre Epsilon Red, como muchos acuñados por los creadores de ransomware, es una referencia a la cultura pop. El personaje Epsilon Red era un adversario relativamente oscuro de algunos de los X-Men en el universo de Marvel, un “súper soldado” supuestamente de origen ruso, luciendo cuatro tentáculos mecánicos y una mala actitud.
Sorprendentemente, el ransomware orientado a empresas no roba archivos antes de cifrarlos, lo que significa que los delincuentes no amenazan con filtrar los archivos de la víctima en línea. Sin embargo, Epsilon Red Ransomware tiene la capacidad de ser muy destructivo, ya que no se dirige a tipos específicos de archivos; encripta cualquier archivo al que pueda acceder, lo que podría permitirle deshabilitar completamente sistemas y servicios.
Si bien Epsilon Red Ransomware no parece estar al nivel del ransomware moderno, sigue siendo muy peligroso. Las víctimas pueden mantenerse protegidas al mantener copias de seguridad de sus datos, actualizar su software y confiar en un software antivirus de buena reputación.