• H. Dunanta 1, Zagreb
  • 01 5585 266

Ransomware profil: Egregor

Egregor Submission Data ID RansomwareEgregor prijava izvor ID Ransomware-a.

Podaci o podnošenju pokazuju (vidi grafikon gore) da je Egregor u vrlo kratkom vremenskom razdoblju potražio velik broj žrtava i da je možda skupio žrtve brže od bilo koje druge skupine. Ovu brzinu vjerojatno su omogućili bivši podružnici Mazea koji su sa sobom ponijeli popise ugroženih mreža.

Međutim, unutar mjesec dana dogodio se značajan pad stope napada. Ovo smanjenje vjerojatno je zbog podružnica koje su prešle iz Mazea "iskoristile" svoje već obuhvaćene mreže.

Što je Egregor?

Egregor je sofisticirani soj ransomware-a koji šifrira datoteke koristeći ChaCha i RSA enkripciju i koristi napredne tehnike zamagljivanja kako bi osujetio napore analize. "Egregor" je izveden iz drevnog grčkog izraza "budan", okultni koncept koji se odnosi na kolektivnu energiju skupine ljudi koja radi prema zajedničkom cilju - prikladnom nazivu za ransomware skupinu.

Kao i mnoge druge moderne ransomware grupe, Egregorovi operateri izvlače podatke od žrtava i pohranjuju ih na svoje poslužitelje prije nego što se podaci šifriraju na ciljnom stroju. Egregor zahtijeva brz odgovor, dajući žrtvama samo 72 sata da uspostave kontakt s napadačima.

U prošlosti se u novčanici o otkupnini navodilo da će u slučaju neplaćanja napadači pokušati prodati ukradene podatke. Podaci koji se ne mogu prodati bit će objavljeni na web mjestu napadača, Egregor News, kojem se može pristupiti i na otvorenom i na tamnom webu. Jedna od posljednjih poznatih natpisnih poruka na njihovoj web stranici bila je saharinna božićna čestitka: „Tim Egregor želi svim klijentima sretne blagdane. Čekaju vas božićni pokloni. Pojedinosti u vašem osobnom chatu! "

Egregor djeluje po modelu otkupnine kao usluge, pri čemu podružnice dobivaju dio otkupnina u zamjenu za ispuštanje zlonamjernog softvera na mreže žrtava. Podružnice Egregora zarađuju 70 posto otkupnina koje generiraju, a preostalih 30 posto ide Egregor grupi. Vjeruje se da je pridruženi program Egregor privukao mnoge bivše podružnice Mazea nakon iznenadnog povlačenja bande ransomware Maze u studenom 2020.

Veza Egregor-Sekhmet-Maze

Egregor, Sekhmet i Maze dijele gotovo potpuno isti osnovni kod. Sekhmet, sada neaktivni soj ransomwarea koji je prvi put otkriven u ožujku 2020. godine, identičan je Mazeu, osim jednog malog podešavanja i načina na koji koristi oznake datoteka. Egregor je pak identičan Sekhmetu, osim što ima drugu vrijednost oznake datoteke i tekst bilješke o otkupnini.

Iako nije jasno jesu li tvorci Sekhmeta i / ili Mazea odgovorni za Egregora, tri varijante očito dijele značajne sličnosti. Platforma za curenje Sekhmet - koja je otkrila samo šest žrtava - isključila se otprilike u isto vrijeme kad je pokrenuta stranica Egregor News.

Povijest Egregora

Egregor je prvi put primijećen u rujnu 2020. Od početka je bio izuzetno aktivna prijetnja, odnijevši više od 130 žrtava u prvih 10 tjedana, uključujući ciljeve visoke vrijednosti u sektorima industrijske robe, maloprodaje i prijevoza.

Uhićeni sumnjivi podružnice Egregora

U veljači 2021. navodne podružnice Egregora uhićene su u Ukrajini nakon zajedničke istrage Fre ncha i ukrajinske policije, kojom je koordinirao Europol. Istražitelji su uspjeli pratiti pad neimenovanih osumnjičenika prateći tok bitcoina kojim su upravljale navodne podružnice . Prema France Interu, uhićeni osumnjičenici pružali su hakersku, logističku i financijsku potporu grupi Egregor. Ukrajinska služba sigurnosti potvrdila je 17. veljače 2021. neotkriveni broj uhićenja u vezi s operacijom Egregor.

Stranica iznude grupe otkazala se u vrijeme uhićenja , što je onemogućilo žrtve da plate otkupninu ili da se jave grupi za otkupninu. To je napomenuti da t je Egregor iznude stranica je trajalo odsutan povremeno neko vrijeme prije uhićenja, tako da je moguće da th e poremećaj nije povezana.

Napomena o otkupnini Egregor

Nakon šifriranja ciljnog sustava, Egregor ispušta bilješku o otkupnini s naslovom "RECOVER-FILES.txt" u sve zaražene direktorije. Napomena o otkupnini prilično je nejasna i ne sadrži posebne upute za plaćanje. Umjesto toga, upućuje žrtve da instaliraju preglednik TOR, dođu do web mjesta operatora i otvore chat uživo s akterima prijetnje, koji će zatim pružiti daljnje upute. U bilješci se navodi da će se ukradeni podaci objaviti ako se ne uspostavi kontakt u roku od tri dana.

Napomena tvrdi da će nakon primanja plaćanja napadači pružiti potpunu dešifriranje svih pogođenih računala, popis datoteka preuzetih podataka, potvrdu o brisanju eksfiltriranih podataka i potpunu povjerljivost. Smjelo se u bilješci također navodi da će operateri žrtvama koje plaćaju pružiti preporuke za osiguranje njihovih mreža kako bi se spriječile buduće povrede.

Egregor je jedina obitelj otkupnina za koju je poznato da ispisuje otkupnine putem dostupnih pisača na ugroženim mrežama.

Na koga cilja Egregor?

Egregor cilja velike organizacije. Iako je sektor industrijske robe i usluga u početku bio najviše pogođen, Egregor je od tada utjecao na poduzeća u širokom rasponu vertikala.

Egregor prvenstveno cilja organizacije sa sjedištem u SAD-u, iako je niz tvrtki iz Južne Amerike, Afrike, Azije, Europe i Oceanije također zaraženo.

Prije šifriranja podataka na ugroženom stroju, Egregor provjerava zadani ID jezika sustava i korisničkog računa. Otkupljivač se ne izvršava ako je otkriven bilo koji od sljedećih jezika: uzbečki, rumunjski, azerbejdžanski, turkmenski, gruzijski, kirgiški, ukrajinski, kazahstanski, tatarski, ruski, tadžički, armenski, bjeloruski, rumunjski.

Kako se Egregor širi?

Trenutno dostupne informacije sugeriraju da lanac zaraze obično započinje s phishing e-poštom koja sadrži zlonamjernu makronaredbu ugrađenu u priloženi dokument.

Nakon izvršavanja, makronaredba preuzima robni zlonamjerni softver kao što su Qakbot, IcedID i / ili Ursnif, koji se koriste za stjecanje početnog udjela u ciljnom okruženju. Operateri QakBot-a, bankarskog trojanca koji se obično koristi za ispuštanje zlonamjernog softvera na zaražene mreže, nedavno su se prebacili s ispuštanja ProLocka, drugog istaknutog soja ransomwarea, na ispuštanje Egregora.

Kasnije u lancu napada, operateri koriste Cobalt Strike za prikupljanje podataka, eskalaciju privilegija, bočno kretanje po mreži i pripremu sustava za šifriranje. Za eksfiltraciju podataka, operateri obično koriste Rclone, program naredbenog retka otvorenog koda koji se koristi za upravljanje pohranom u oblaku. Bilo je i slučajeva da operatori koriste Cobalt Strike za stvaranje RDP veze s drugim krajnjim točkama na mreži i kopiraju Egregor na njih.

Važno je napomenuti da, budući da je Egregor ransomware-as-a-service kojim upravlja više podružnica, metode zaraze mogu se razlikovati. Čuli smo glasine da Egregor koristi nedostatke u sustavima Microsoft Exchange, VBScript Engine i Adobe Flash Player, ali ta su izvješća i dalje neutemeljena.

Glavni napadi Egregora

Ubisoft
U listopadu 2020. Egregor je plijenio pozornost industrije cyber sigurnosti visokim napadom na razvojnog programera video igara Ubisoft. Akteri prijetnje u početku su objavili nekoliko stotina megabajta podataka koji se odnose na imovinu u igri, da bi kasnije objavili 560 GB izvornog koda iz Ubisoftove najnovije akcijsko-avanturističke igre Watch Dogs: Legion.

Barnes & Noble
U listopadu 2020. Barnes & Noble pogođen je Egregorom. Incident je prisilio američkog giganta knjižare da isključi svoju mrežu kako bi zaustavio širenje napada, što je rezultiralo time da korisnici Nooka nisu mogli pristupiti svojim knjižnicama e-knjiga. Akteri prijetnje tvrdili su da su tijekom napada ukrali financijske i revizijske podatke, dok su adrese e-pošte, adrese za naplatu, adrese za dostavu i povijest kupnje također izložene na ugroženim sustavima.

TransLink
U prosincu 2020. godine, transportna agencija Metro Vancouver TransLink suočila se sa značajnim poremećajima nakon što je postala žrtvom Egregora. Napad je utjecao na telefone, internetske usluge i sustave plaćanja, zbog čega putnici nisu u mogućnosti platiti karte kreditnim ili debitnim karticama. Tijekom incidenta otisnute su bilješke o otkupnini s pisača TransLink, kao i digitalno ubačene u zaražene direktorije.

Randstad
U prosincu 2020. Randstad, jedna od najvećih svjetskih agencija za zapošljavanje, objavio je da je Egregor probio njihovu mrežu. Operateri su objavili 32,7 MB arhive eksfiltriranih podataka, za koju su tvrdili da je samo 1 posto ukupnih podataka ukradenih tijekom napada. Procurili podaci sadržavali su niz poslovnih dokumenata, uključujući financijska izvješća, pravne dokumente i računovodstvene tablice.

Kako zaštititi mrežu od Egregora i drugog ransomwarea?

Sljedeće prakse mogu pomoći organizacijama da smanje rizik od incidenta s Egregorom.

  • Obuka o svijesti o cyber sigurnosti : Budući da se većina ransomwarea širi akcijama koje pokreću korisnici, organizacije bi trebale provoditi inicijative za obuku koje su usredotočene na podučavanje krajnjih korisnika osnovama cyber sigurnosti. Ransomware i metode širenja neprestano se razvijaju, tako da obuka mora biti stalan postupak kako bi se osiguralo da krajnji korisnici imaju trenutne prijetnje.
  • Vjerodajnice : Vježbanje dobre higijene vjerodajnica može pomoći u sprečavanju napada grubom silom, ublažiti učinke krađe vjerodajnica i smanjiti rizik od neovlaštenog pristupa mreži.
  • Višefaktorska provjera autentičnosti : MFA pruža dodatni nivo sigurnosti koji može pomoći u sprečavanju neovlaštenog pristupa računima, alatima, sustavima i spremištima podataka. Organizacije bi trebale razmotriti mogućnost omogućavanja MVP-a kad god je to moguće.
  • Sigurnosne zakrpe : Organizacije svih veličina trebale bi imati robusnu strategiju upravljanja zakrpama koja osigurava da se sigurnosna ažuriranja na svim krajnjim točkama, poslužiteljima i uređajima primjenjuju što je prije moguće kako bi se minimalizirala prilika za napad.
  • Sigurnosne kopije : Sigurnosne kopije su jedan od najučinkovitijih načina ublažavanja učinaka ransomware incidenta. Mnogi se sojevi ransomwarea mogu bočno proširiti mrežom i šifrirati lokalno pohranjene sigurnosne kopije, pa bi organizacije trebale koristiti mješavinu medijske pohrane i pohranjivati ​​sigurnosne kopije na i izvan web mjesta. Pogledajte ovaj vodič za više informacija o stvaranju sigurnosnih kopija otpornih na ransomware .
  • Osiguranje sustava : Učvršćivanje mreža, poslužitelja, operativnih sustava i aplikacija presudno je za smanjenje površine napada i upravljanje potencijalnim sigurnosnim ranjivostima. Onemogućavanje nepotrebnih i potencijalno iskoristivih usluga kao što su PowerShell, RDP, Windows Script Host, makronaredbe Microsoft Office itd. Smanjuje rizik od početne zaraze, dok provedba načela najmanje privilegiranosti može pomoći u sprječavanju bočnog pomicanja.
  • Blokiraj makronaredbe : Mnoge obitelji ransomwarea isporučuju se putem makro ugrađenih Microsoft Officea ili PDF dokumenata. Organizacije bi trebale pregledati upotrebu makronaredbi, razmotriti mogućnost blokiranja svih makronaredbi s Interneta i omogućiti izvršavanje provjerenih i odobrenih makronaredbi samo s pouzdanih lokacija.
  • Provjera autentičnosti e-pošte : Organizacije mogu koristiti razne tehnike provjere autentičnosti e-pošte, kao što su Okvir pravila pošiljatelja, Identificirana pošta DomainKeys i Provjera autentičnosti, izvješćivanje i usklađenost poruka na temelju domene za otkrivanje lažnog predstavljanja e-pošte i prepoznavanje sumnjivih poruka.
  • Mrežna segregacija : Učinkovita mrežna segregacija pomaže u sprječavanju incidenata, sprječava širenje zlonamjernog softvera i smanjuje ometanje šireg poslovanja.
  • Nadzor mreže : Organizacije svih veličina moraju imati uspostavljene sustave za nadgledanje mogućih kanala eksfiltracije podataka i hitno reagiranje na sumnjive aktivnosti.
  • Testiranje penetracije : Probijanje testiranja može biti korisno za otkrivanje ranjivosti u IT infrastrukturi i osjetljivosti zaposlenika na ransomware. Rezultati testa mogu se koristiti za raspodjelu IT resursa i informiranje o budućim odlukama o kibernetskoj sigurnosti.
  • Plan odgovora na incidente : Organizacije bi trebale imati sveobuhvatan plan reagiranja na incidente koji precizno navodi što učiniti u slučaju zaraze. Brz odgovor može spriječiti širenje zlonamjernog softvera, smanjiti poremećaj i osigurati što učinkovitiju sanaciju incidenta.

Kako ukloniti Egregora i ostali ransomware?

Egregor koristi sofisticirane metode šifriranja koje trenutno onemogućuju dešifriranje podataka bez plaćanja alata za dešifriranje koji je isporučio napadač.

Žrtve Egregora trebale bi biti spremne za obnavljanje svojih sustava iz sigurnosnih kopija, koristeći procese koji bi trebali biti definirani u planu organizacije za odgovor na incidente. Preporučuju se sljedeće radnje:

  • Poduzmite mjere za suzbijanje prijetnje.
  • Odredite opseg zaraze.
  • Utvrdite izvor zaraze.
  • Prikupiti dokaze.
  • Vratite sustav iz sigurnosnih kopija.
  • Provjerite jesu li svi uređaji na mreži čisti.
  • Izvršite sveobuhvatnu forenzičku analizu kako biste utvrdili vektor napada, opseg incidenta i opseg eksfiltracije podataka.
  • Prepoznajte i ojačajte ranjivosti kako biste smanjili rizik od ponovljenog incidenta.

 

Emsisoft nudi prilagođene savjetodavne usluge za ransomware kako bi pomogao organizacijama pogođenim ransomwareom da smanje zastoje, troškove i rizik trajnog gubitka podataka. KONTAKTIRAJTE NAS

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

Korisni linkovi

Pratite nas