Egregor勒索軟件是一款相對(duì)較新的勒索軟件，在2020年9月才被首次發(fā)現(xiàn)，盡管安全公司對(duì)Egregor的描述各不相同，但一致認(rèn)為Egregor其實(shí)是Sekhmet勒索軟件家族的一個(gè)變種。新出現(xiàn)的Egregor組織采用了“雙重勒索”模式來威脅受害者。像目前大多數(shù)正在被使用的勒索軟件變種一樣，Egregor使用了“雙重勒索”，利用泄漏頁面上可公開訪問的被盜數(shù)據(jù)來迫使受害者支付贖金。Egregor受害者包括了Kmart、溫哥華地鐵系統(tǒng)、Barnes & Noble、視頻游戲開發(fā)商育碧和Crytek，以及荷蘭人力資源公司Randstad，攻擊者從這些公司竊取數(shù)據(jù)，并將其中的一部分發(fā)布到了網(wǎng)絡(luò)上。

在Maze勒索軟件退出舞臺(tái)后，Egregor便火的一塌糊涂，有成為行業(yè)老大的趨勢(shì)。

Egregor的主要通過Cobalt Strike傳播，初始攻擊會(huì)采用各種方式，比如說RPD探測(cè)和網(wǎng)絡(luò)釣魚等，當(dāng)Cobalt Strike Beacon有效載荷被成功傳播并實(shí)現(xiàn)持久化之后，它就可以被用來傳播和啟動(dòng)Egregor了。

但由于Egregor是一個(gè)勒索軟件即服務(wù)（RaaS），因此不同攻擊者所使用的傳播方式以及攻擊策略可能會(huì)有所不同。而且，研究人員最近還觀察到有通過網(wǎng)絡(luò)釣魚郵件來傳播Egregor的情況。攻擊通常分為兩個(gè)步驟：首先通過網(wǎng)絡(luò)釣魚郵件來嘗試攻擊Qakbot，然后再安裝實(shí)際的Egregor勒索軟件。后者是由攻擊者手動(dòng)部署的，不管怎樣，首先需要通過初始化攻擊來獲取到目標(biāo)設(shè)備的訪問權(quán)限。

Egregor 勒索軟件攻擊趨勢(shì)分析

新年新氣象，新年新機(jī)會(huì)，這句話對(duì)攻擊者也適用。 Egregor 勒索軟件就是這種情況，由于它非常受歡迎，Egregor有不斷迭代的趨勢(shì)，因此本文會(huì)告訴你可以采取哪些措施來對(duì)抗此類勒索軟件，以確保你的網(wǎng)絡(luò)安全。

Egregor的雙重勒索手段有多強(qiáng)？如果受害者在三天內(nèi)沒有支付贖金，攻擊者將繼續(xù)披露更多信息，直到將全部被盜信息發(fā)布。 Barnes & Noble 是迄今為止最引人注目的 Egregor 受害者，勒索軟件作者聲稱他們?cè)?2020 年 10 月加密計(jì)算機(jī)上的文件之前獲取了未加密的數(shù)據(jù)。

根據(jù)對(duì) Egregor 和 Sekhmet 進(jìn)行分析的勒索軟件專家 Michael Gillespie 的說法，支付贖金的 Egregor 受害者會(huì)收到名為“Sekhmet Decryptor”的解密程序。

Egregor 解密程序

2020 年 9 月 18 日，論壇上首次出現(xiàn) Egregor 勒索軟件的信息。ZDNet 寫道：“Egregor 還與勒索軟件即服務(wù) (RaaS) 模型相關(guān)聯(lián)，在該模型中，客戶可以訂閱訪問該惡意軟件?！崩账鬈浖捶?wù)是一種模型，它允許任何攻擊新手通過使用 RaaS 包或成為服務(wù)的附屬機(jī)構(gòu)來發(fā)起勒索軟件攻擊。

然而，研究人員當(dāng)時(shí)還不知道它的存在，因?yàn)槔账鬈浖ㄟ^各種反分析技術(shù)保護(hù)自己避免自己被發(fā)現(xiàn)，例如使用有效載荷加密和代碼混淆，但有一點(diǎn)很清楚：Egregor 勒索軟件運(yùn)營商，就像在 Maze 勒索軟件的情況下一樣，威脅如果未支付贖金（三天內(nèi)），則發(fā)布被盜數(shù)據(jù)。

勒索軟件即服務(wù)工作流程

Egregor勒索軟件運(yùn)行模式

初始訪問權(quán)限是通過多種方式獲得的，包括使用被盜憑據(jù)、遠(yuǎn)程訪問技術(shù)黑客攻擊以及針對(duì)具有有害附件的特定員工的魚叉式網(wǎng)絡(luò)釣魚操作。為了悄無聲息地發(fā)現(xiàn)受害者網(wǎng)絡(luò)的信息并橫向遷移，攻擊者使用威脅仿真工具集 Cobalt Strike。

為了避免安全解決方案的分析和檢測(cè)，代碼采用了混淆技術(shù)。嘗試使用 PowerShell 腳本卸載或禁用流行的終端安全系統(tǒng)。有效載荷然后執(zhí)行，讓用戶收到要求在三天期限內(nèi)支付贖金信息，以避免他們的數(shù)據(jù)在網(wǎng)上泄露。如果攻擊者在指定的時(shí)間內(nèi)收到他們的錢，受害者的數(shù)據(jù)就會(huì)被完全解密。

從攻擊人群來看，Egregor 勒索軟件似乎針對(duì)的是與 Sekhmet 和 Maze 相同的受害者。

Egregor 勒索軟件攻擊通過加載程序開始發(fā)起進(jìn)攻的，然后在受害者的防火墻中啟用遠(yuǎn)程桌面協(xié)議。運(yùn)行成功之后，惡意軟件可以在受害者的網(wǎng)絡(luò)內(nèi)自由移動(dòng)，識(shí)別并禁用它可以找到的所有防病毒軟件。接下里是對(duì)數(shù)據(jù)進(jìn)行加密，并在所有受攻擊的文件夾中插入一個(gè)名為“RECOVER-FILES.txt”的贖金記錄。

之后，受害者被告知下載一個(gè)暗網(wǎng)瀏覽器，以便在專用登錄頁面的幫助下與攻擊者進(jìn)行交流。

Egregor 勒索軟件登陸頁面

Egregor 勒索軟件攻擊

自 2020 年 9 月以來，Egrego的受害者數(shù)量就直線上升。下面我們就舉幾個(gè)例子:

2020 年 10 月

?對(duì)Barnes & Noble的攻擊

Barnes & Noble是美國最大的實(shí)體書店，同時(shí)也是僅次于Amazon的世界第二大在線書店。公司的發(fā)展可以追溯到1873年，發(fā)展到今天已經(jīng)擁有1000多個(gè)連鎖書店。2020 年 10 月，Barnes & Noble成為 Egregor 的首批備受矚目的受害者之一。根據(jù)該公司發(fā)布的一份公開聲明，網(wǎng)絡(luò)攻擊使攻擊者一些 Barnes & Noble 商業(yè)網(wǎng)絡(luò)進(jìn)行了非法訪問。

Barnes and Noble 警告說，某些客戶的數(shù)據(jù)可能已經(jīng)被泄露。電子郵件地址、送貨地址和電話號(hào)碼都可能被盜竊。果不其然， Egregor 的暗網(wǎng)泄密網(wǎng)站上很快就出現(xiàn)了一條消息，聲稱有被盜數(shù)據(jù)。

?CRYTEK 和育碧

視頻游戲開發(fā)商 Crytek 和 Ubisoft 也是 Egregor 的兩個(gè)首批受害者。攻擊者從兩家公司的IT系統(tǒng)中竊取的文件和數(shù)據(jù)同時(shí)出現(xiàn)在Egregor的暗網(wǎng)泄漏網(wǎng)站上。

Ubisoft的泄露內(nèi)容包括該公司一款視頻游戲的源代碼，而Crytek的泄露內(nèi)容則包括未來項(xiàng)目的開發(fā)材料。Egregor 證實(shí)他們只是從 Ubisoft 竊取了數(shù)據(jù)，并且勒索軟件使系統(tǒng)未受到干擾且未加密。另一方面，Crytek 的幾個(gè)系統(tǒng)完全被攻擊者加密。

2020 年 11 月

?CENCOSUD

總部位于智利的跨國零售公司Cencosud于2020年11月受到Egregor勒索軟件的攻擊。這次攻擊影響了他們商店的服務(wù)。Cencosud擁有超過14萬名員工，2019年的銷售額為150億美元，擁有Easy home goods、Jumbo超市和巴黎百貨商店等商店，是拉丁美洲最大的零售企業(yè)之一。

關(guān)于Egregor勒索軟件如何影響Cencosud的一個(gè)很好的例子是發(fā)生在布宜諾斯艾利斯一家Easy商店的事情，那里有一個(gè)標(biāo)志警告顧客，由于技術(shù)問題，他們不接受“Cencosud Card”信用卡，不接受退貨，也不允許在網(wǎng)上購物。

2020 年 12 月

?Kmart

2020 年 12 月上旬，美國連鎖百貨公司 Kmart 的后端 IT 系統(tǒng)遭到勒索軟件攻擊。黑客入侵后，母公司Transformco的人力資源網(wǎng)站癱瘓。

對(duì)于零售商來說，節(jié)假日銷售是一年中非常重要的時(shí)刻。根據(jù)威脅參與者的說法，在一年中最繁忙的時(shí)期成功攻擊商店的IT系統(tǒng)，有更高的可能性獲得贖金。據(jù)看到該事件贖金記錄的安全研究人員稱，Egregor 組織是這次攻擊的幕后黑手。 Kmart 從未公開承認(rèn)勒索軟件攻擊，而且損害似乎僅限于加密的后端系統(tǒng)和工作站。

2019年，該公司被Transformco收購，后者顯然也受到了影響。內(nèi)部使用的88sears.com網(wǎng)站已經(jīng)下線，工作人員證實(shí)這是由于勒索軟件攻擊造成的。

?TRANSLINK

對(duì)Translink的攻擊也發(fā)生在2020年12月初，攻擊影響了電話線路、網(wǎng)絡(luò)服務(wù)和支付系統(tǒng)。顧客在一段時(shí)間內(nèi)無法使用信用卡或借記卡支付交通費(fèi)用。

如果Translink希望避免其數(shù)據(jù)被在線公布，則必須在三天內(nèi)付款。Egregor 使用了一種不尋常的技術(shù)將贖金票據(jù)傳遞給 Translink：攻擊者劫持了打印機(jī)并反復(fù)打印票據(jù)。這一策略類似于一個(gè)月前 Egregor 對(duì) Cencosud 的攻擊。

?任仕達(dá)人力資源公司

這家總部位于阿姆斯特丹的公司于 2020 年 12 月初宣布，他們被Egregor 勒索軟件攻擊。正如 BleepingComputer 所指出的，“任仕達(dá)是世界上最大的人事代理機(jī)構(gòu)，在 38 個(gè)國家設(shè)有辦事處，并且是著名的就業(yè)網(wǎng)站 Monster.com 的所有者。任仕達(dá)擁有超過 38000 名員工，并在 2019 年創(chuàng)造了 237 億歐元的收入。”

Egregor 發(fā)布了一個(gè)包含 184 個(gè)文件的 32.7MB 檔案，其中包括“會(huì)計(jì)電子表格、財(cái)務(wù)報(bào)告、法律文件和其他雜項(xiàng)商業(yè)文件”，他們聲稱這僅占泄露數(shù)據(jù)的 1%。

緩解措施

Egregor勒索軟件背后的攻擊者的活動(dòng)已經(jīng)引起了FBI的注意:“所有的私營部門組織都被敦促對(duì)Egregor勒索軟件背后的潛在惡意活動(dòng)保持警惕。聯(lián)邦調(diào)查局警告說，黑客組織正在瘋狂地攻擊和利用一系列全球企業(yè)。FBI的最新警報(bào)警告稱，自該組織出現(xiàn)以來，Egregor已經(jīng)在全球?qū)?50個(gè)目標(biāo)發(fā)起了攻擊?！?/p>

FBI還再次強(qiáng)調(diào)，“支付贖金并不理想，也不被推薦，因?yàn)樗鼤?huì)進(jìn)一步鼓勵(lì)黑客繼續(xù)這些有針對(duì)性的行動(dòng)。受害者應(yīng)該聯(lián)系聯(lián)邦調(diào)查局，它可以幫助防止進(jìn)一步的襲擊?！?/p>

目前還沒有針對(duì)Egregor勒索軟件的解密工具，因此，只有負(fù)責(zé)攻擊的攻擊者擁有解密軟件和密鑰來解密已加密的文件。無論如何，不要相信攻擊者或支付任何贖金。

員工教育

你的所有員工都應(yīng)該了解網(wǎng)絡(luò)釣魚的危險(xiǎn)，這是一種注入勒索軟件的常見載體。根據(jù)定義，網(wǎng)絡(luò)釣魚是“一種惡意技術(shù)，被網(wǎng)絡(luò)攻擊者用來收集用戶的敏感信息(信用卡數(shù)據(jù)、用戶名和密碼等)。”攻擊者假裝自己是一個(gè)值得信任的實(shí)體，以引誘受害者信任他們，并泄露他們的機(jī)密數(shù)據(jù)。通過網(wǎng)絡(luò)釣魚收集的數(shù)據(jù)可能被用于金融盜竊、身份盜竊、未經(jīng)授權(quán)訪問受害者的賬戶或他們可以訪問的賬戶、敲詐受害者等等。”

采用電子郵件安全解決方案

說到網(wǎng)絡(luò)釣魚，電子郵件安全是避免它的一種方法。電子郵件安全解決方案是一個(gè)革命性的垃圾郵件過濾器和惡意軟件保護(hù)系統(tǒng)，它包含的電子郵件安全向量比任何其他解決方案都要多。通過簡單的集成和高度可定制的控制，電子郵件安全將幫助你檢測(cè)惡意軟件，阻止垃圾郵件，惡意URL和網(wǎng)絡(luò)釣魚。

確保備份

對(duì)你的數(shù)據(jù)進(jìn)行備份(甚至是備份到備份，如果可能的話)對(duì)任何公司和每個(gè)人都是至關(guān)重要的。任何事情都可能在任何時(shí)間發(fā)生在任何人身上。備份應(yīng)該是安全的，管理員應(yīng)該確保數(shù)據(jù)無法從數(shù)據(jù)所在的系統(tǒng)中被修改或刪除。

安裝和更新反惡意軟件和防病毒軟件

一個(gè)好的防病毒解決方案可以幫助你避免許多問題。建議使用一個(gè)多層安全套件，將威脅搜尋、預(yù)防和緩解整合在一個(gè)軟件包中，以提供最佳的終端保護(hù)。

使用多因素身份驗(yàn)證保護(hù)你的終端

應(yīng)在企業(yè)網(wǎng)絡(luò)中的所有遠(yuǎn)程接入點(diǎn)上實(shí)施多因素身份驗(yàn)證，并特別注意保護(hù)或禁用遠(yuǎn)程桌面協(xié)議 (RDP) 訪問。據(jù)報(bào)道，多個(gè)勒索軟件攻擊利用不安全的 RDP 連接來獲取對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)限。

為了識(shí)別可能的安全事件，使用用戶和實(shí)體行為分析

假設(shè)觸發(fā)警報(bào)時(shí)發(fā)生了違規(guī)行為，審核、監(jiān)控和及時(shí)響應(yīng)可疑的特權(quán)帳戶和群體濫用行為。

防止未經(jīng)授權(quán)的數(shù)據(jù)盜竊

特別是在將大量數(shù)據(jù)上傳到可能被攻擊者濫用的合法云存儲(chǔ)系統(tǒng)時(shí)，考慮將出站流量限制到未經(jīng)批準(zhǔn)的云托管服務(wù)中。

國家層面的防護(hù)

烏克蘭執(zhí)法部門在打擊勒索軟件團(tuán)伙方面忙碌了一年，與法國警方的聯(lián)合行動(dòng)逮捕了許多與Egregor勒索軟件團(tuán)伙有關(guān)聯(lián)的人。Egregor的分支機(jī)構(gòu)在2021年2月的突襲中被關(guān)閉，他們利用該團(tuán)伙的勒索軟件進(jìn)行黑客活動(dòng)。

由 Egregor 運(yùn)營的暗網(wǎng)泄密網(wǎng)站已經(jīng)下線。目前尚不清楚該行動(dòng)的高管是否暫停了行動(dòng)，根據(jù)公民社會(huì)組織的說法，Egregor 的領(lǐng)導(dǎo)人可能在已經(jīng)被被捕。

2 月 9 日，美國、烏克蘭和法國當(dāng)局的聯(lián)合行動(dòng)逮捕了 Egregor 背后的組織成員以及參與其計(jì)劃的人員。據(jù)報(bào)道，Egregor 組織的領(lǐng)導(dǎo)人也在被捕者中。該組織的網(wǎng)站也被下線。

與其他勒索軟件的情況一樣，Egregor 有可能以不同的名稱重新出現(xiàn)，而它目前的停運(yùn)只是一個(gè)暫時(shí)行為，不過也有一種可能，Egregor 已徹底停運(yùn)。

本文翻譯自：https://heimdalsecurity.com/blog/egregor-ransomware/