سرورهای Exchange هدف باج‌افزار Red Epsilon

به گزارش پایگاه خبری بانکداری الکترونیک، به نقل از روابط عمومی مرکز مدیریت راهبردی افتا، در جریان حملات این باج‌افزار، از شیوه دسترسی از راه دور بهره گرفته شده است.

باج افزار Red Epsilon به زبان Golang یا همان Go نوشته شده است و موجب ازکارانداختن پروسه‌ها و سرویس‌های مرتبط با ابزارهای امنیتی، پایگاه‌های داده، برنامه‌های مدیریت نسخه‌های پشتیبان، مجموعه نرم‌افزاری Office و برنامه‌های مدیریت ایمیل می‌شود.
این بدافزار فایل درهم ساز رمزهای عبور را به سرقت برده و سوابق رویدادها را در Windows حذف می کند.

باج افزار »رد اپسیلون (Red Epsilon )« ابزارهای امنیتی از برندهای Sophos، Trend Micro، Cylance، MalwareBytes، Sentinel One، Vipre و Webroot را پس از رخنه به سرورهای قربانی حذف می‌کند و سطح دسترسی مهاجمان را بر روی دستگاه قربانی گسترش می‌دهد.

بررسی محققان شرکت امنیتی Sophos نشان می‌دهد که مهاجمان از یک ابزار تجاری با نام Remote Utilities نیز برای برقراری ارتباطات از راه دور در کنار Tor Browser استفاده می‌کنند. با این رویکرد حتی در صورت مسدود شدن نقطه رخنه اولیه همچنان یک درگاه باز باقی خواهد ماند.

تحقیقات Sophos نشان می‌دهد که حداقل یکی از قربانیان هفته آخر اردیبهشت، مبلغ ۴,۲۸ بیت‌کوین را به گردانندگان این باج‌افزار پرداخت کرده است.

کارشناسان مرکز مدیریت راهبردی افتا می‌گویند: این باج‌افزار به فایل‌های رمزگذاری شده پسوند epsilonred را الصاق می‌کند، ضمن آن که برخلاف بسیاری از باج‌افزارها که برای جلوگیری از اشکال در فرایند بالا آمدن دستگاه، از رمزگذاری فایل‌های با پسوند EXE و DLL پرهیز می‌کنند،Red Epsilon  این فایل‌ها را نیز مورد دست‌درازی قرار می‌دهد.

اطلاعات فنی در باره چگونگی نفوذ باج افزار "رد اپسیلون" و قربانی کردن دیگر سیستم‌ها از طریق سرورهای آلوده Exchange  به همراه لینک دستیابی به مشروح گزارش شرکت Sophos  و نشانه‌های آلودگی این باج‌افزار در بخش هشدارهای افتایی پایگاه اینترنتی  مرکز مدیریت راهبردی افتا به آدرس https://afta.gov.ir/portal/home/?news/235046/237266/24384 در اختیار متخصصان و کارشناسان IT قرار داده شده است.