Egregor勒索软件是一款相对性较新的勒索软件,在2020年9月才被第一次发觉,虽然安全性企业对Egregor的叙述不尽相同,但一致觉得Egregor实际上是Sekhmet勒索软件大家族的一个变种。新产生的Egregor机构选用了“双重勒索”方式来危害受害者。像现阶段大部分已经被采用的勒索软件变种一样,Egregor应用了“双重勒索”,利用泄露网页页面上可公布浏览的失窃数据信息来驱使受害者付款保释金。Egregor受害者包含了Kmart、洛杉矶地铁站系统软件、Barnes & Noble、短视频游戏开发商育碧游戏和Crytek,及其西班牙劳务派遣公司Randstad,网络攻击从这种企业盗取数据信息,并将当中的一部分公布到了互联网上。
在Maze勒索软件撤出平台后,Egregor便火的一塌糊涂,有变成领域大哥的发展趋势。
Egregor的关键根据Cobalt Strike散播,原始进攻会选用各种各样方法,例如RPD检测和钓鱼攻击等,当Cobalt Strike Beacon有效载荷被取得成功散播并完成分布式锁以后,它就可以被用于散播和运行Egregor了。
但因为Egregor是一个勒索软件即服务项目(RaaS),因而不一样网络攻击所采用的传播效果及其进攻对策很有可能会各有不同。并且,科学研究工作人员近期还留意到有根据互联网钓鱼邮件来散播Egregor的状况。进攻通常分成2个流程:最先根据互联网钓鱼邮件来试着进攻Qakbot,随后再安裝具体的Egregor勒索软件。后面一种是由网络攻击手动式布署的,无论如何,最先要根据复位进攻来获得到总体目标机器设备的访问限制。
Egregor 勒索软件进攻变化趋势
新的一年,新年新机遇,含意对网络攻击也适用。 Egregor 勒索软件便是这样的事情,因为它十分受大家喜爱,Egregor有持续优化的发展趋势,因而这篇文章会对你说可以采用什么对策来抵抗该类勒索软件,以保证你的网络信息安全。
Egregor的双重勒索方式多强?假如受害者在三天内沒有付款保释金,网络攻击将再次公布其他信息,直到将所有失窃发布信息。 Barnes & Noble 是到目前为止最引人注意的 Egregor 受害者,勒索软件创作者宣称她们在 2020 年 10 月数据加密电子计算机上的文档以前获得了未数据加密的数据信息。
依据对 Egregor 和 Sekhmet 开展研究的勒索软件权威专家 Michael Gillespie 的观点,付款巨款的 Egregor 受害者会接到名叫“Sekhmet Decryptor”的破译程序流程。
Egregor 破译程序流程
2020 年 9 月 18 日,社区论坛上第一次发生 Egregor 勒索软件的信息内容。ZDNet 写到:“Egregor 还与勒索软件即服务项目 (RaaS) 实体模型密切相关,在该实体模型中,顾客可以定阅浏览该恶意程序。”勒索软件即服务项目是一种实体模型,它容许一切进攻初学者根据应用 RaaS 包或变成服务项目的附设组织来进行勒索软件进攻。
殊不知,科学研究工作人员那时候还不知道它的存有,由于勒索软件根据各种各样反剖析技术性保护自己防止自身被发觉,例如应用有效载荷数据加密和代码加密,但有一点很清晰:Egregor 勒索软件营运商,如同在 Maze 勒索软件的情形下一样,危害假如未付款保释金(三天内),则公布失窃数据信息。
勒索软件即服务项目工作内容
Egregor勒索软件运行模式
原始访问限制是利用很多种方法取得的,包含应用失窃凭证、远程连接技术性黑客入侵及其对于具备有危害配件的特殊职工的鱼叉式钓鱼攻击实际操作。为了更好地悄然无声地发觉受害者互联网的消息并横着转移,网络攻击应用危害仿真工具集 Cobalt Strike。
为了防止安全性解决方法的剖析和检验,编码选用了搞混技术性。试着应用 PowerShell 脚本制作卸载掉或禁止使用时兴的计算机终端系统软件。有效载荷随后实行,让客户接到规定在三天期内付款保释金信息内容,以防止她们的数据信息在网络上泄漏。假如网络攻击在规定的時间内接到她们的钱,受害者的数据信息便会被彻底破译。
从进攻群体看来,Egregor 勒索软件好像对于的是与 Sekhmet 和 Maze 同样的受害者。
Egregor 勒索软件进攻根据载入程序流程逐渐进行攻击的,随后在受害者的网络防火墙中开启远程桌面连接协议书。运作取得成功以后,恶意程序可以在受害者的互联网内随意挪动,鉴别并禁止使用它可以寻找的全部杀毒软件。接下来里是对数据资料开展数据加密,并在任何受伤害的文件中插进一个名叫“RECOVER-FILES.txt”的保释金纪录。
以后,受害者被告之下载一个暗网浏览器,便于在专用型登陆页面的幫助下与网络攻击开展沟通交流。
Egregor 勒索软件登陆页面
Egregor 勒索软件进攻
自 2020 年 9 月至今,Egrego的受害者总数就垂直升高。下边咱们就举一些事例:
2020 年 10 月
◼对Barnes&Noble的进攻
Barnes & Noble是英国最高的网络书店,与此同时也是仅次Amazon的世界第二大在线书店。企业的进步可以上溯到1873年,发展趋势到现在早已具有1000好几个连锁书店。2020 年 10 月,Barnes & Noble成为 Egregor 的第一批备受关注的受害者之一。依据该企业公布的一份公开申明,黑客攻击使网络攻击一些 Barnes & Noble 商业服务互联网开展了非法访问。
Barnes and Noble 警示说,一些顾客的数据信息有可能早已被泄漏。电子邮箱地址、配送详细地址和联系电话都很有可能被偷盗。果然, Egregor 的影子网络泄密事件网址上迅速就产生了一条信息,宣称有失窃数据信息。
◼CRYTEK 和育碧游戏
短视频游戏开发商 Crytek 和 Ubisoft 也是 Egregor 的2个第一批受害者。网络攻击从俩家企业的IT系统中盗取的资料和数据信息与此同时发生在Egregor的影子网络泄露网址上。
Ubisoft的泄漏內容包含该企业一款淤戏的源码,而Crytek的泄漏內容则包含将来新项目的开发设计原材料。Egregor 确认她们仅仅从 Ubisoft 盗取了数据信息,而且勒索软件使系统软件未遭受影响且未数据加密。另一方面,Crytek 的好多个系统软件彻底被网络攻击数据加密。
2020 年 11 月
◼CENCOSUD
总公司坐落于多米尼加的海外零售企业Cencosud于2020年11月遭受Egregor勒索软件的进攻。此次进攻危害了她们店铺的服务项目。Cencosud有着超出14数十万职工,2019年的交易额为150亿美金,有着Easy home goods、Jumbo商场和法国巴黎百货商城等店铺,是南美洲最高的零售企业之一。
有关Egregor勒索软件怎样危害Cencosud的一个有效的事例是产生在布宜诺斯艾利斯一家Easy店铺的事儿,那边有一个标示警示消费者,因为技术性问题,她们不接纳“Cencosud Card”银行信用卡,不接纳退换货,也不允许在网络购物。
2020 年 12 月
◼Kmart
2020 年 12 月上中旬,英国连锁加盟百货商店 Kmart 的后面 IT 系统软件遭受勒索软件攻击。黑客攻击后,总公司Transformco的人力资源网站偏瘫。
针对零售商而言,节假日日市场销售是一年中十分关键的时时刻刻。依据危害参加者的观点,在一年中最忙碌的阶段取得成功攻击店铺的IT系统,有更好的概率得到赎金。据见到该事情赎金纪录的安全性科研工作人员称,Egregor 机构是此次攻击的幕后人。 Kmart 从没公布认可勒索软件攻击,并且危害好像仅限数据加密的后端系统和工作平台。
2019年,该企业被Transformco回收,后面一种显而易见也得到了危害。内部结构采用的88sears.com网站早已退出,工作员确认这也是因为勒索软件攻击导致的。
◼TRANSLINK
对Translink的攻击也出现在2020年12月初,攻击危害了电話路线、互联网服务和支付平台。消费者在一段时间内没法使用信用卡或储蓄卡付款交通出行花费。
假如Translink期待防止其数据被线上发布,则务必在三天内支付。Egregor 应用了一种不寻常的技术性将赎金单据传送给 Translink:攻击者挟持了复印机并不断打印出单据。这一对策类似一个月前 Egregor 对 Cencosud 的攻击。
◼任仕达劳务派遣公司
这个总公司坐落于阿姆斯特丹的企业于 2020 年 12 月初公布,她们被Egregor 勒索软件攻击。正如 BleepingComputer 所强调的,“任仕达是全球最大的人事代理制度组织,在 38 个我国配有服务处,而且是知名的就业网站 Monster.com 的使用者。任仕达有着超出 38000 名职工,并在 2019 年创建了 237 亿欧的收益。”
Egregor 公布了一个包括 184 个文档的 32.7MB 档案资料,主要包括“财务会计excel表、财务报表、法律文件和别的杂类商业服务文档”,她们宣称这仅占泄漏数据的 1%。
减轻对策
Egregor勒索软件身后的攻击者的主题活动早已引发了FBI的留意:“全部的利益相关者机构都被督促对Egregor勒索软件身后的潜在性故意主题活动提高警惕。中情局警示说,黑客联盟已经玩命地攻击和运用一系列全世界公司。FBI的全新报警警示称,自该机构发生至今,Egregor早已在全世界对150个总体目标进行了攻击。”
FBI还在此注重,“付款赎金并不理想化,都不被强烈推荐,因为它会进一步激励网络黑客再次这种有目的性的行为。受害人应当联络中情局,它可以协助避免进一步的围攻。”
现阶段尚未对于Egregor勒索软件的解密工具,因而,仅有承担攻击的攻击者有着解密软件和密匙来破译已加锁的文档。不管怎样,不要相信攻击者或付款一切赎金。
职工文化教育
你的全部职工都应当掌握网络钓鱼的风险,这也是一种引入勒索软件的普遍媒介。依据界定,网络钓鱼是“一种故意技术性,被互联网攻击者用于搜集客户的敏感性信息内容(银行信用卡数据、账户密码等)。”攻击者装作自身是一个非常值得信赖的实体线,以诱惑受害人信赖她们,并泄漏她们的商业秘密数据。根据网络钓鱼搜集的数据很有可能被用以金融业偷盗、真实身份偷盗、没经受权浏览受害人的帐户或她们可以浏览的帐户、勒索受害人这些。”
选用电子邮箱安全性解决方法
说到网络钓鱼,电子邮箱安全性是防止它的一种方式。电子邮箱安全性解决方法是一个颠覆性的垃圾邮件过滤器和恶意程序维护系统软件,它包括的电子邮箱安全性空间向量比所有别的解决方法都需要多。根据简洁的融合和相对高度可定做的操纵,电子邮箱安全性将协助你检验恶意程序,阻拦垃圾短信,故意URL和网络钓鱼。
保证备份数据
对你的数据开展备份数据(乃至是备份数据到备份,假如有可能得话)对一切企业和每一个人都是极为重要的。一切事儿都很有可能在所有時间产生在所有人的身上。备份数据应该是安全性的,管理人员应当保证数据没法从数据所属的体系中被调整或删掉。
安裝和升级反恶意程序和杀毒软件
一个好的病毒防护解决方法可以幫助你防止很多问题。提议应用一个双层安全性模块,将危害寻找、防止和减轻融合在一个程序包中,以给予最好的终端设备维护。
应用多要素身份认证保护你的终端设备
应在企业网络中的全部远程接入点上执行多要素身份认证,并需注意维护或禁止使用远程桌面连接协议书 (RDP) 浏览。据报道,好几个勒索软件攻击运用不安全的 RDP 联接来获得对总体目标互联网的原始访问限制。
为了更好地鉴别很有可能的安全事故,应用客户和实体线行为分析
假定开启报警时发生了违规操作,审批、监管和立即回应异常的权利账号和人群乱用个人行为。
避免没经认证的数据偷盗
城市广场将很多数据上传入很有可能被攻击者乱用的合理合法云分布式存储时,考虑到将出站总流量限定到没经许可的云托管服务中。
我国层次的安全防护
乌克兰国家执法部门在打压勒索软件犯罪团伙层面繁忙了一年,与法国的警察的联合执法拘捕了众多与Egregor勒索软件犯罪团伙有联系的人。Egregor的分支机构在2021年2月的突击中被关掉,她们运用该犯罪团伙的勒索软件开展网络黑客主题活动。
由 Egregor 经营的影子网络泄密事件网址现已退出。现阶段尚不清楚该行为的管理层是不是中止了行为,依据中国公民社会团体的观点,Egregor 的领导人员很有可能在早已被被抓。
2 月 9 日,英国、乌克兰国家和法国的政府的联合执法拘捕了 Egregor 身后的结构组员及其参加其方案的工作人员。据报道,Egregor 机构的领导人员也在被抓者中。该安排的网址也被退出。
与别的勒索软件的情形一样,Egregor 有可能以不一样的名字再次发生,而它现在的停止运营仅仅一个临时个人行为,但是也有一种很有可能,Egregor 已完全停止运营。
文中翻譯自:https://heimdalsecurity.com/blog/egregor-ransomware/