Un nouveau ransomware nommé Epsilon Red a été utilisé pour cibler au moins une organisation aux États-Unis, et ses opérateurs ont apparemment déjà réalisé un profit significatif.

La société de cybersécurité Sophos a rapporté la semaine dernière que des opérateurs d’Epsilon Red avaient été repérés en train de cibler une entreprise basée aux États-Unis dans le secteur de l’hôtellerie. L’adresse de crypto-monnaie fournie par les cybercriminels montre une transaction Bitcoin pour un montant d’environ 210000 dollars, ce qui semble indiquer qu’au moins une victime a accepté de payer la rançon demandée par les cybercriminels.

Les chercheurs de Sophos ont remarqué que la note de rançon déposée par Epsilon Red est similaire à celle affichée par le ransomware REvil, mais la note de rançon d’Epsilon Red est mieux écrite – elle ne contient pas certaines des erreurs de grammaire dans la note REvil.

Les victimes sont informées que leurs fichiers ont été cryptés et que leurs données ont été volées et seront divulguées à moins qu’elles ne paient la rançon. Cependant, Sophos a noté que le ransomware ne contient pas de liste de types de fichiers ciblés et crypte à la place chaque fichier dans un dossier, ce qui peut rendre l’ensemble du système inopérant.

Epsilon Red, développé dans le langage Go, a été décrit comme un «ransomware simple». L’exécutable du ransomware est petit car il est uniquement conçu pour rechercher dans le système les dossiers qu’il peut crypter et effectuer le cryptage proprement dit. Les tâches restantes sont effectuées par une douzaine de scripts PowerShell, qui préparent la machine pour la charge utile de chiffrement finale.

Ces scripts PowerShell sont conçus pour modifier les règles de pare-feu pour permettre les connexions à distance des attaquants, désactiver ou tuer les processus qui pourraient empêcher le chiffrement, supprimer le cliché instantané de volume pour empêcher la récupération des fichiers chiffrés, supprimer les journaux d’événements Windows, accorder des autorisations élevées, désinstaller le logiciel de sécurité et obtenir des données précieuses.

Les assaillants ont aussi …