Sophos 發現勒索軟體市場的新面孔 Epsilon Red

在文章《勒索軟體市場新面孔：Epsilon Red》中，Sophos研究人員詳細介紹Epsilon Red始作俑者使用的工具、技術和程序（TTP）以及攻擊者的行為。

Sophos研究人員在2021年5月調查一起事件時首次發現Epsilon Red。在一次人為操作的攻擊中，最後遞送的可執行裝載就是這一個勒索軟體。根據Sophos的分析，此次攻擊的所有其他元件都是使用PowerShell指令檔。這些PowerShel 指令檔包括：

• 執行指令來刪除受感染電腦的磁碟區陰影副本的指令碼，使受害者更難復原遭攻擊者加密的部分或全部檔案。
• 用於解除安裝受感染電腦上的各種安全和備份程式的指令碼。它會尋找特定程式以及名稱中帶有「備份」或「雲端」等字樣的任何內容，然後試圖終止並解除安裝它們。如果發現某些正在運作中的處理程序會影響他們加密磁碟上的重要資料，攻擊者還會試圖停用或終止它們，例如資料庫服務、備份程式、Office應用程式、電子郵件用戶端、QuickBooks，甚至是 Steam 遊戲平台。
• 據Sophos研究人員表示，其中一個指令檔似乎是開源工具Copy-VSS的複製版，攻擊者使用該工具來擷取和破解儲存在電腦上的密碼。
• 而另一個指令檔似乎是開源工具EventCleaner的編譯版本，可用於抹除或修改 Windows 事件日誌的內容。攻擊者利用它來刪除他們一切操作的痕跡。

Epsilon Red在受感染電腦留下的勒索註記和REvil勒索軟體類似，但更正部份語法。攻擊者鼓勵受害者透過特定網站與他們聯繫。根據攻擊者提供的加密貨幣地址，至少有一名Epsilon Red的受害者支付4.29 BTC（約21萬美元）的贖金。

Sophos Rapid Response 團隊經理 Peter Mackenzie 表示，Epsilon Red是一種有意思的新型勒索軟體。實際的勒索軟體檔案本身非常精簡，可能是因為它已將其他工作（如刪除備份）卸載到PowerShell指令檔去了。它實際上只會加密檔案，而且不會精確鎖定對象。意思是如果它要加密一個資料夾，就會直接加密該資料夾中的所有檔案。不幸的是，這代表其他可執行檔和動態連結程式庫（DLL）也會被加密，可能會導致重要的執行中程式或整個系統停擺。因此，被攻擊的電腦需要完全重建。

Sophos對攻擊者行為的分析表明，他們可能對這些工具的可靠性或攻擊能否成功缺乏信心，因此他們採取了一些替代方案和備份計畫以防萬一。例如，在攻擊序列早期，攻擊者會下載並安裝遠端桌面軟體Remote Utilities和Tor瀏覽器的副本，這可能是為了在初始進入點被封鎖後確保另一個立足點。還有在其他情況中，我們看到攻擊者發出多餘的命令，使用稍微不同的方法來完成同一件事，例如刪除處理程序和備份。防止Epsilon Red等勒索軟體入侵的最佳方法，就是確保已經完全修補好伺服器，而且您的安全解決方案可以偵測並阻擋任何可疑和加密檔案的行為。