Egregor勒索软件是一种相对较新的勒索软件,于2020年9月首次被发现。虽然安全公司对Egregor的描述各不相同,但一致认为Egregor实际上是Sekhmet勒索软件家族的一个变种。新兴的Egregor集团采用“双重勒索”模式威胁受害者。与当今使用的大多数勒索软件变体一样,Egregor使用“双重勒索”,使用泄露页面上可公开访问的被盗数据来迫使受害者支付赎金。Egregor的受害者包括Kmart、VancouverMetro、Barnes&Noble、视频游戏开发商Ubisoft和Crytek,以及荷兰人力资源公司Randstad,攻击者从这些公司窃取数据并将其中一些发布到网上。Maze勒索病毒退出舞台后,Egregor变得一团糟,趋于成为行业龙头。Egregor主要通过CobaltStrike传播。最初的攻击将使用各种方法,例如RPD检测和网络钓鱼。当CobaltStrikeBeaconpayload成功传播并实现持久化后,可用于传播和启动Egregor。但是,由于Egregor是一种勒索软件即服务(RaaS),不同的攻击者使用的传播方式和攻击策略可能会有所不同。此外,研究人员最近观察到Egregor通过网络钓鱼电子邮件进行分发。攻击通常分为两步:首先尝试通过网络钓鱼电子邮件破坏Qakbot,然后安装实际的Egregor勒索软件。后者由攻击者手动部署,但是,首先需要进行初始攻击才能访问目标设备。Egregor勒索病毒攻击趋势分析新的一年带来新的机遇,攻击者同样如此。Egregor勒索软件就是这种情况。由于其受欢迎程度,Egregor有不断迭代的趋势,因此本文将告诉您如何对抗此类勒索软件,以确保您的网络安全。Egregor的双重勒索计划有多强大?如果受害者在三天内不支付赎金,攻击者将继续披露更多信息,直到所有被盗信息被释放。Barnes&Noble是迄今为止最引人注目的Egregor受害者,勒索软件作者声称他们在2020年10月加密计算机上的文件之前获取了未加密的数据。分析过Egregor和Sekhmet的勒索软件专家MichaelGillespie表示,支付赎金的Egregor受害者会收到一个名为“SekhmetDecryptor”的解密程序。Egregor解密器2020年9月18日,有关Egregor勒索软件的信息首次出现在论坛上。“Egregor还与勒索软件即服务(RaaS)模型相关联,在该模型中,客户订阅以访问恶意软件,”ZDNet写道。勒索软件即服务是一种模型,允许任何新手攻击者打包或成为服务的附属机构以发起勒索软件攻击。然而,研究人员当时并不知道它的存在,因为勒索软件通过各种反分析技术保护自己免受检测,例如使用有效负载加密和代码混淆,但有一点很清楚:Egregor勒索软件运营商,就像在以Maze勒索软件为例,如果不支付赎金(三天内),就会威胁释放被盗数据。勒索软件即服务工作流程最初可以通过多种方式获得对Egregor勒索软件运行模式的访问权限,包括使用窃取的凭据、使用远程访问技术进行黑客攻击,以及针对带有有害附件的特定员工的鱼叉式网络钓鱼操作。为了悄悄发现有关受害者网络的信息并横向迁移,攻击者使用了威胁仿真工具集CobaltStrike。为了避免被安全解决方案分析和检测,代码被混淆了。尝试使用PowerShell脚本卸载或禁用流行的端点安全系统。然后执行有效负载,允许用户收到勒索消息,要求在三天的期限内完成,以避免他们的数据在线泄露。如果攻击者在指定时间内收到他们的钱,受害者的数据就会被完全解密。从攻击人数来看,Egregor勒索软件似乎针对与Sekhmet和Maze相同的受害者。Egregor勒索软件攻击首先加载一个程序,然后在受害者的防火墙中启用远程桌面协议。一旦成功,恶意软件就可以在受害者的网络中自由移动,识别并禁用它能找到的任何防病毒软件。下一步是加密数据并在所有被攻击的文件夹中插入一个名为“RECOVER-FILES.txt”的赎金票据。之后,受害者被告知下载一个暗网浏览器,以便在专用登录页面的帮助下与攻击者进行通信。Egregor勒索软件登陆页面Egregor勒索软件攻击自2020年9月以来,Egregor的受害者人数猛增。以下是几个例子:2020年10月?攻击Barnes&NobleBarnes&Noble是美国最大的实体书店,也是仅次于亚马逊的全球第二大在线书店。公司的发展可以追溯到1873年,如今已拥有1000多家连锁书店。2020年10月,Barnes&Noble成为Egregor首批备受瞩目的受害者之一。根据该公司发布的一份公开声明,网络攻击让攻击者未经授权访问了Barnes&Noble的部分业务网络。BarnesandNoble警告称,一些客户数据可能已被泄露。电子邮件地址、送货地址和电话号码都可能被盗。果然,一条消息很快就出现在Egregor的暗网泄密网站上,声称窃取了数据。?CRYTEK和Ubisoft视频游戏开发商Crytek和Ubisoft也是Egregor的第一批受害者中的两个。攻击者从两家公司的IT系统窃取的文件和数据也出现在Egregor的暗网泄密站点上。Ubisoft泄密事件包括该公司一款视频游戏的源代码,而Crytek泄密事件包括未来项目的开发材料。Egregor证实,他们只是从Ubisoft窃取了数据,并且勒索软件未对系统进行干扰和加密。另一方面,Crytek的几个系统被攻击者完全加密。2020年11月?CENCOSUD总部位于智利的跨国零售公司Cencosud于2020年11月受到Egregor勒索软件的攻击。这次攻击影响了他们商店的服务。Cencosud拥有超过140,000名员工,2019年销售额达150亿美元,是拉丁美洲最大的零售企业之一,拥有Easyhomegoods、Jumbo超市和巴黎百货公司等商店。Egregor勒索软件如何影响Cencosud的一个很好的例子是在布宜诺斯艾利斯的一家Easy商店发生的事情,那里有一个标志警告顾客由于技术问题他们不接受“Cencosud卡”信用卡,不接受退货,并且不允许在线购买。2020年12月?Kmart2020年12月上旬,美国连锁百货公司Kmart的后端IT系统遭到勒索软件攻击。母公司Transformco的人力资源网站在遭到黑客攻击后无法访问。假日销售对零售商来说是一年中非常重要的时间。据威胁行为者称,在一年中最繁忙的时间成功攻击商店的IT系统有更高的机会获得赎金。据看到该事件的勒索字条的安全研究人员称,Egregor组织是此次攻击的幕后黑手。Kmart从未公开承认勒索软件攻击,而且损害似乎仅限于加密的后端系统和工作站。2019年,该公司被Transformco收购,后者显然也遭受了损失。内部使用的88sears.com网站已下线,工作人员确认这是由于勒索软件攻击。?TRANSLINK对Translink的攻击也发生在2020年12月上旬,影响了电话线、网络服务和支付系统。客户在一段时间内不能使用信用卡或借记卡支付交通费用。如果Translink希望避免其数据在网上发布,则必须在三天内付款。Egregor使用了一种不寻常的技术将赎金票据发送给Translink:攻击者劫持了打印机并反复打印票据。这种策略类似于一个月前Egregor对Cencosud的攻击。?RandstadHumanResources这家总部位于阿姆斯特丹的公司于2020年12月上旬宣布他们受到了Egregor勒索软件的攻击。正如BleepingComputer所指出的那样,“任仕达是全球最大的人事代理机构,在38个国家/地区设有办事处,并且是热门求职网站Monster.com的所有者。任仕达拥有38,000多名员工,2019年创造了237亿欧元的收入。”Egregor发布了一个32.7MB的存档,其中包含184个文件,包括“会计电子表格、财务报告、法律文件和其他杂项商业文件”,他们声称这些文件仅占泄露数据的1%。%.缓解背后攻击者的活动Egregor勒索软件引起了FBI的注意:“敦促所有私营部门组织对Egregor勒索软件背后的潜在恶意活动保持警惕。黑客组织正在变得疯狂,”FBI警告攻击和利用一系列全球企业。最新的FBI警报警告说,自该组织出现以来,Egregor已经对全球150个目标发起了攻击。”FBI还再次强调,“支付赎金并不理想,也不推荐,因为这会进一步鼓励黑客继续这些有针对性的行动。”受害者应联系FBI,这有助于防止进一步的攻击。“目前还没有Egregor勒索软件的解密工具,因此,只有负责攻击的攻击者才拥有解密软件和密钥来解密被加密的文件。无论如何,不??要相信攻击者或支付任何赎金。员工对你们所有人进行教育员工都应该意识到网络钓鱼的危险,网络钓鱼是注入勒索软件的常见载体。根据定义,网络钓鱼是“网络攻击者用来收集敏感用户信息(信用卡数据、用户名和密码等)的恶意技术”。“攻击者假装是一个值得信赖的实体,以引诱受害者信任他们并泄露他们的机密数据。通过网络钓鱼收集的数据可用于金融盗窃、身份盗窃、未经授权访问受害者的账户或他们可以访问的账户、勒索受害者等。”采用电子邮件安全解决方案当谈到网络钓鱼时,电子邮件安全是避免它的一种方法。电子邮件安全解决方案是一种革命性的垃圾邮件过滤器和恶意软件保护系统,它包含比任何其他解决方案更多的电子邮件安全向量。具有易于集成和高度可定制的控件,电子邮件安全将帮助您检测恶意软件、阻止垃圾邮件、恶意URL和网络钓鱼。确保备份备份您的数据(如果可能,甚至备份到备份)对任何公司和每个人都至关重要。任何人在任何时候都可能发生任何事情备份应该是安全的,管理员应该确保数据不会被修改或从数据所在的系统中删除。安装和更新反恶意软件和防病毒软件一个好的防病毒解决方案可以帮助您避免很多问题。多层安全套件是建议将威胁搜寻、预防和缓解结合在一个程序包中,以实现最佳端点保护。使用Multi-F保护您的端点参与者身份验证应在公司网络中的所有远程访问点上实施多因素身份验证,特别注意保护或禁用远程桌面协议(RDP)访问。据报道,多次勒索软件攻击利用不安全的RDP连接来获得对目标网络的初始访问权限。要识别可能的安全事件,请使用用户和实体行为分析来审核、监控并及时响应涉嫌滥用特权帐户和组的行为,假设在触发警报时发生违规行为。为防止未经授权的数据盗窃,尤其是在将大量数据上传到可能被攻击者滥用的合法云存储系统时,请考虑将出站流量限制为未经批准的云托管服务。国家级防御乌克兰执法部门在打击勒索软件团伙方面度过了忙碌的一年,与法国警方联合行动逮捕了一些与Egregor勒索软件团伙有关的人。Egregor的分支机构在2021年2月的突袭中被关闭,他们使用该团伙的勒索软件进行黑客活动。Egregor运营的一个暗网泄密网站已经下线。目前尚不清楚该行动的高管是否已暂停行动,据民间社会组织称,埃格雷戈尔的领导人可能已被捕。2月9日,美国、乌克兰和法国当局联合行动逮捕了Egregor背后的组织成员以及参与其计划的人员。据报道,Egregor集团的领导人也在被捕者之列。该组织的网站也被关闭。与其他勒索软件的情况一样,Egregor有可能以不同的名称重新出现,目前的中断只是暂时的行为,尽管Egregor也有可能完全停止服务。本文翻译自:https://heimdalsecurity.com/blog/egregor-ransomware/
