Egregor勒索軟體組織詳解以及防範它的方法 - CIO頻道 - 企業網D1...

新出現的Egregor組織採用了「雙重贖金」技術來威脅損害企業的聲譽並增加了支付壓力。

 

Egregor是什麼?

 

Egregor是增長最快的勒索軟體家族之一。它的名字來源於一個神秘世界，被定義為「一群人的集體能量，特別是當他們有一個共同目標的時候，」根據Recorded Future公司Insikt團隊的說法。儘管安全公司對惡意軟體的描述各不相同，但一致認為Egregor其實是Sekhmet勒索軟體家族的一個變種。

 

它出現在2020年9月，與此同時，Maze勒索軟體團夥已宣布打算關閉運營。然而，隸屬於Maze小組的成員似乎已經毫不猶豫地轉移到了Egregor。

 

Insikt以及Palo Alto Networks的Unit 42團隊認為，Egregor與Qakbot等商業惡意軟體以及IcedID和Ursnif等其他現成的惡意軟體有關。Qakbot在2007年變得非常活躍，它使用了一種複雜的、難以破解的蠕蟲病毒。這些惡意軟體可以幫助攻擊者獲得對受害者系統的初始訪問權限。

 

所有的安全研究人員似乎都同意Cybereason的Noutchnus團隊的觀點，即Egregor是一種迅速出現的、高度嚴重的威脅。根據安全公司Digital Shadows的說法，Egregor在全球19個不同行業中至少有71名受害者。

 

Egregor的雙重勒索削弱了傳統防禦

 

像目前大多數正在被使用的勒索軟體變種一樣，Egregor使用了「雙重勒索」，依靠一個「恥辱大廳」或洩漏頁面上可公開訪問的被盜數據來迫使受害者支付贖金。備受矚目的Egregor受害者包括了Kmart、溫哥華地鐵系統、Barnes和Noble、視頻遊戲開發商育碧和Crytek，以及荷蘭人力資源公司Randstad，攻擊者從這些公司竊取數據，並將其中的一部分發布到了網絡上。

 

像許多網際網路罪犯一樣，在冠狀病毒危機期間，Egregor襲擊者認為醫療設施和醫院也應該是一個公平的遊戲。馬裡蘭州的GBMC Healthcare就是一家由於Egregor勒索軟體攻擊而不得不減少一些功能的醫療服務提供商，該公司於2020年12月初受到了攻擊。該公司表示，它有著強有力的保護措施，但仍被迫推遲了一些選擇性的程序。

 

雙重勒索，或雙重贖金，是這種新型勒索軟體的特點，削弱了大多數公司以前可以部署的防禦措施，即在攻擊者對文件加密時依舊保持強大的備份。Egregor「在幾個月前才真正出現，尤其是在2020年9月份，它真正開始在全世界範圍內流行的時候，基本上就是在Maze勒索軟體運營商關閉的同一時間。」，Palo Alto Networks公司Unit 42小組的威脅情報部副主任Jen Miller-Osborn告訴CSO。

 

「如果你有很好的離線備份，並且你知道它們是有效的，那麼當你被勒索軟體攻擊時，就不是什麼大問題，」她說。「你的商業目的可能會受到衝擊，也可能會出現停機，但如果你有良好的備份，你就應該已經在恢復計劃中納入了這一點。」

 

現在，像Egregor這樣的組織已經「明白了這個想法。因此，他們會說，『好吧，我們已經竊取了你的數據，所以你必須為此向我們付費。或者我們只是打算公開發布它，這可能會毀了你的企業，或者至少損害你企業的聲譽。』這就抹殺了長久以來行之有效的備份的策略。」Miller-Osborn說。「我們在Maze身上看到了這一點，在Egregor身上也看到了這一點。」

 

就像Maze一樣，Egregor也被作為一種服務來進行出售，該團夥會將其出售或出租給其他人惡意使用。Maze的一些同樣的附屬公司已經轉移到了Egregor，「所以這似乎將是繼Maze之後的下一件大事，直到有人變得聰明並提出更具創造性的變體為止」，Miller-Osborn說。

 

如何防禦Egregor

 

當談到如何免受Egregor雙重贖金的影響時，更強有力的保護措施會有所幫助，Miller-Osborn說。「勒索軟體通常並不是特別複雜。在大多數情況下，它並不是超級隱蔽的惡意軟體。」

 

很多勒索軟體感染源於網絡釣魚。「它仍然是最常見的感染媒介，」因此針對網絡釣魚的更好的保護和培訓可能會有所幫助。「打開那些郵件時要小心;點擊那些連結時也要小心。這是我們經常說的重複的話，但這是避免勒索軟體攻擊的最簡單的方法。」

 

Miller-Osborn表示：「在內部，公司也可以做一些事情，將最敏感的數據保存在飛地中，不要有扁平的網絡，並識別出哪些是最敏感的或可能造成災難性損失的數據。」她建議，對於最敏感的數據，組織應該考慮增加一個額外的傳感器，比網絡的其他部分具有更高級別的額外安全監控控制。「顯然，所有這些都要花錢，而且不是小事。」

 

任何組織的高敏感數據也可能成為企業或國家支持的間諜威脅的目標，因此投資保護這些類型的記錄總體上會是一個好主意。「勒索軟體的行為者可能在尋找和過濾的敏感數據，也可能是出於間諜動機的威脅感興趣的數據，」Miller-Osborn說。「因此，讓這些數據得到更好的保護、更難訪問是件好事。」

 

通過培訓和加強網絡保護，有可能阻止勒索軟體，Miller-Osborn說。「它只需要在正確的地方配置正確的安全組件。這是一種安全態勢設計。」

 

就Egregor與Maze小組的聯繫而言，「我們並沒有確鑿的證據，但許多小事讓我們相信這就是同一批人」，Miller-Osborn說。這種情況在商業惡意軟體中並不少見，一個組織會聲稱關閉，但後來卻以更名版本的形式出現，而且是同一些人。「看起來他們這麼做是因為太多人關注他們了。壓力太大了。有太多的執法人員在尋找他們，」她說。「不管是出於什麼原因，他們要做的就是把自己和以前的組織分開。」

 

不幸的是，這個以Egregor惡意軟體崛起為代表的高破壞性勒索軟體的新時代不會很快結束。「這種情況還會繼續下去。我想我們會看到更多的演員，尤其是犯罪方面的演員，開始利用這一點。因為他們已經認識到這樣做能賺多少錢。」

 

版權聲明：本文為企業網D1Net編譯，轉載需註明出處為：企業網D1Net，如果不註明出處，企業網D1Net將保留追究其法律責任的權利。