PowerShell勒索軟件發現,在最新的勒索軟件攻擊中滲透了未插入的Microsoft Exchange電子郵件服務器。安全專家發現了一種不尋常的Windows漏洞,發現正在利用公司的多個系統。
Sophos的網絡安全分析師說,勒索軟件依賴於使用GO編程語言編寫的PowerShell腳本--- Epsilon Red。
Sophos發現了惡意軟件打擊了酒店業的行業
根據Sophos的官方聲明,該集團認為,涉及惡意軟件攻擊的一名受害者已支付了4.29btc的贖金或近21萬美元。除Microsoft Exchange服務器外,Epsilon Red Attack一直在利用加密貨幣用戶。
“企業Microsoft Exchange Server似乎是攻擊者進入企業網絡的初始入口點。目前尚不清楚這是否是由Proxylogon Exploit或其他漏洞啟用的,但似乎根本原因可能是未撥打的服務器,” Sophos的主要研究人員Andrew Brandt在帖子中寫道。
PowerShell勒索軟件如何擊中系統
根據一篇文章Techradar6月1日,星期二,當Epsilon Red成功訪問機器系統時,它將針對WMI或Windows Management儀器,以便可以開始種植惡意軟件。
從那裡,一旦該軟件現在安裝在內部,現在將有一個特殊入口到Microsoft Exchange Server。 PowerShell勒索軟件背後的黑客也利用了PowerShell腳本,正如Sophos上週在其帖子中提到的那樣。
小組依賴腳本的原因是為即將推出的“最終勒索軟件”啟動到目標機器。具體來說,這將包裹刪除音量陰影副本,以使受害者不再重新獲得加密的機器。
對於Epsilon Red來說,這將是“最終”發送勒索軟件的最佳機會。
根據網絡安全分析師的說法,PowerShell勒索軟件有一個限制。由於它的尺寸很小,因此只能加密文件,因為PowerShell腳本會照顧其餘的利用。
此外,專家說,有一系列代碼允許勒索軟件從開源項目Godirwalk中執行。這將啟動驅動器掃描以在Microsoft電子郵件服務器中列表的彙編。
但是,有一個奇怪的發現,即IT人民有在此勒索軟件中檢測到。在Epsilon Red的贖金中,書面消息類似於以前被網絡攻擊者使用的Revil勒索軟件。
這次,威脅參與者以更正確的語法模式構建了當前的勒索軟件。顯然,惡意軟件利用了那些說本人英語的用戶。
相關文章:Microsoft Exchange Server Hack上的Brian Krebs:“不是我” - 這個安全網站安全嗎?
本文由技術時報擁有
約瑟夫·亨利(Joseph Henry)撰寫
