Egregor勒索软件组解释了它以及如何防止它什么是Egregor?Egregor是增长最快的勒索软件家族之一。根据RecordedFuture的Insikt团队的说法,它的名字来自一个神秘的世界,被定义为“一群人的集体能量,尤其是当他们有一个共同的目标时”。虽然不同安全公司对恶意软件的描述各不相同,但一致认为Egregor实际上是Sekhmet勒索软件家族的一个变体。它出现于2020年9月,与此同时,Maze勒索软件团伙宣布打算停止运营。然而,Maze小组的成员似乎已经毫不犹豫地转向了Egregor。Insikt和PaloAltoNetworks的Unit42团队认为,Egregor与商业恶意软件(如Qakbot)以及其他现成的恶意软件(如IcedID和Ursnif)有关。Qakbot在2007年变得非常活跃,使用了一种复杂的、难以破解的蠕虫。这些恶意软件可以帮助攻击者获得对受害者系统的初始访问权限。所有安全研究人员似乎都同意Cyber??eason的Noutchnus团队的观点,即Egregor是一种迅速出现的高严重性威胁。据安全公司DigitalShadows称,Egregor在全球19个不同行业至少有71名受害者。Egregor的双重勒索削弱了传统防御与当今使用的大多数勒索软件变体一样,Egregor使用“双重勒索”,依靠“耻辱堂”或泄漏页面上可公开访问的被盗数据来迫使受害者支付赎金。备受瞩目的Egregor受害者包括Kmart、VancouverMetro、BarnesandNoble、视频游戏开发商Ubisoft和Crytek,以及荷兰人力资源公司Randstad,攻击者从这些公司窃取数据并将其中一些发布到网上。与许多网络罪犯一样,Egregor攻击者认为,在冠状病毒危机期间,医疗设施和医院也应该受到攻击。马里兰州的GBMCHealthcare是一家医疗保健提供商,由于Egregor勒索软件攻击于2020年12月上旬遭到袭击,该公司不得不减少部分功能。该公司表示已采取强有力的保障措施,但仍被迫推迟了一些选择性程序。双重勒索或双重赎金是这种新型勒索软件的标志,它削弱了大多数公司以前可以部署的防御措施,即在攻击者加密文件时保持强大的备份。Egregor“直到几个月前才真正问世,尤其是在2020年9月,它才真正开始在世界范围内流行起来,基本上与Maze勒索软件运营商关闭的同时。”,PaloAltoNetworksJenMiller-该公司Unit42小组威胁情报副主任奥斯本告诉CSO。“如果你有良好的离线备份,并且你知道它们是有效的,那么当你收到勒索软件时,这不是什么大问题,”她说。“您的业务目标可能会受到影响,您可能会有停机时间,但如果您有良好的备份,那么您的恢复计划中应该已经有了。”现在,像Egregor这样的组织“有了这个想法。所以他们说,‘好吧,我们窃取了你的数据,所以你必须为此付钱给我们。或者我们只是公开发布它,这可能会毁掉你的业务,或至少损害了您的企业声誉。这扼杀了长期建立的备份策略,”Miller-Osborn说。“我们在Maze身上看到了它,我们在Egregor身上看到了它。”与Maze一样,Egregor被作为一项服务出售,该团伙会将其出售或出租给其他人恶意使用。一些相同的Maze分支机构已经转移到Egregor,“所以这似乎将成为Maze之后的下一件大事,直到有人变得聪明并想出更有创意的变体,”Miller-Osborn说。如何防御Egregor在保护自己免受Egregor双重赎金方面,更强的保护措施会有所帮助,Miller-Osborn说。“勒索软件通常不是特别复杂。在大多数情况下,它不是超级隐蔽的恶意软件。”许多勒索软件感染源于网络钓鱼。“它仍然是最常见的感染媒介,”因此更好的保护和培训以防止网络钓鱼可能会有所帮助。“打开这些电子邮件时要小心;点击这些链接时要小心。这是我们一直在说的话,但这是避免勒索软件攻击的最简单方法,”Miller-Osborn说。“在内部,公司也可以做一些事情来将最敏感的数据保存在飞地中,而不是扁平化网络,并确定哪些数据是最敏感的或可能是灾难性的。”她建议,对于最敏感的数据,组织应该考虑添加一个额外的传感器,该传感器具有比网络其余部分更高级别的额外安全监控控制。“显然,所有这些都需要花钱,而且并非微不足道。”任何组织的高度敏感数据也可能成为企业或国家支持的间谍威胁的目标,因此投资保护这些类型的记录通常是一个好主意。“勒索软件参与者可能正在寻找和过滤敏感数据,或数据Miller-Osborn说:“可能会对间谍活动引起的威胁感兴趣。因此,更好地保护这些数据并减少访问是一件好事。”通过培训和更强大的网络保护来阻止勒索软件是可能的,Miller-Osborn说。“它只需要在正确的地方使用正确的安全组件。这是一种安全态势设计。”就Egregor与Maze组织的联系而言,“我们没有确凿的证据,但很多细节让我们相信这是同一批人,”Miller-Osborn说。在商业恶意软件中,一个团体声称被关闭,只是后来以重命名的版本出现,而且是同一个人所为,这种情况并不少见。“看起来他们这样做是因为有太多人在看着他们。压力太大。太多执法人员正在寻找他们,”她说。“不管是什么原因,他们试图做的是将自己与以前的组织分开。”不幸的是,这个以Egregor恶意软件的兴起为代表的高度破坏性勒索软件的新时代不会很快结束。“这种情况会继续下去。我认为我们会看到更多的演员,尤其是犯罪演员,开始利用这一点。因为他们已经意识到他们可以赚多少钱。”
