Una nueva variante de ransomware llamada EPSILON RED ha sido detectada por la firma de seguridad Sophos. Este malware se oculta en un conjunto de scripts PowerShells, los cuales explotan una serie de fallas presentes en los servidores de Microsoft Exchange sin actualizar.
Los hackers utilizan una implementación de Microsoft Exchange para poder acceder a los sistemas y comenzar el ataque, sacando provecho de Windows Management Instrumentation para automatizar acciones en el sistema operativo, las cuales lanzan una serie de scripts (secuencia de comandos) del Power Shell y preparar a los equipos objetivo para el secuestro y robo de información.
El Windows Management Instrumentation es una solución tecnológica inventada por Microsoft la cual permite la administración de los diferentes ambientes operacionales de Windows y permite que los lenguajes de los script, como VBScript o Power Shell, administren las computadoras personales y los servidores de Microsoft Windows de forma remota o local.
Sophos piensa que este programa malicioso está relacionado con los desarrolladores de REvil, una organización dedicada al desarrollo de ransomware, esto debido a que la nota de rescate es muy similar a otras que se han visto en los ataques más relevantes de este grupo de cibercriminales.
