Egregor勒索軟件組織詳解以及防范它的方法
新出現的Egregor組織采用了“雙重贖金”技術來威脅損害企業的聲譽并增加了支付壓力。
Egregor是什么?
Egregor是增長最快的勒索軟件家族之一。它的名字來源于一個神秘世界,被定義為“一群人的集體能量,特別是當他們有一個共同目標的時候,”根據Recorded Future公司Insikt團隊的說法。盡管安全公司對惡意軟件的描述各不相同,但一致認為Egregor其實是Sekhmet勒索軟件家族的一個變種。
它出現在2020年9月,與此同時,Maze勒索軟件團伙已宣布打算關閉運營。然而,隸屬于Maze小組的成員似乎已經毫不猶豫地轉移到了Egregor。
Insikt以及Palo Alto Networks的Unit 42團隊認為,Egregor與Qakbot等商業惡意軟件以及IcedID和Ursnif等其他現成的惡意軟件有關。Qakbot在2007年變得非常活躍,它使用了一種復雜的、難以破解的蠕蟲病毒。這些惡意軟件可以幫助攻擊者獲得對受害者系統的初始訪問權限。
所有的安全研究人員似乎都同意Cybereason的Noutchnus團隊的觀點,即Egregor是一種迅速出現的、高度嚴重的威脅。根據安全公司Digital Shadows的說法,Egregor在全球19個不同行業中至少有71名受害者。
Egregor的雙重勒索削弱了傳統防御
像目前大多數正在被使用的勒索軟件變種一樣,Egregor使用了“雙重勒索”,依靠一個“恥辱大廳”或泄漏頁面上可公開訪問的被盜數據來迫使受害者支付贖金。備受矚目的Egregor受害者包括了Kmart、溫哥華地鐵系統、Barnes和Noble、視頻游戲開發商育碧和Crytek,以及荷蘭人力資源公司Randstad,攻擊者從這些公司竊取數據,并將其中的一部分發布到了網絡上。
像許多互聯網罪犯一樣,在冠狀病毒危機期間,Egregor襲擊者認為醫療設施和醫院也應該是一個公平的游戲。馬里蘭州的GBMC Healthcare就是一家由于Egregor勒索軟件攻擊而不得不減少一些功能的醫療服務提供商,該公司于2020年12月初受到了攻擊。該公司表示,它有著強有力的保護措施,但仍被迫推遲了一些選擇性的程序。
雙重勒索,或雙重贖金,是這種新型勒索軟件的特點,削弱了大多數公司以前可以部署的防御措施,即在攻擊者對文件加密時依舊保持強大的備份。Egregor“在幾個月前才真正出現,尤其是在2020年9月份,它真正開始在全世界范圍內流行的時候,基本上就是在Maze勒索軟件運營商關閉的同一時間。”,Palo Alto Networks公司Unit 42小組的威脅情報部副主任Jen Miller-Osborn告訴CSO。
“如果你有很好的離線備份,并且你知道它們是有效的,那么當你被勒索軟件攻擊時,就不是什么大問題,”她說。“你的商業目的可能會受到沖擊,也可能會出現停機,但如果你有良好的備份,你就應該已經在恢復計劃中納入了這一點。”
現在,像Egregor這樣的組織已經“明白了這個想法。因此,他們會說,‘好吧,我們已經竊取了你的數據,所以你必須為此向我們付費。或者我們只是打算公開發布它,這可能會毀了你的企業,或者至少損害你企業的聲譽。’這就抹殺了長久以來行之有效的備份的策略。”Miller-Osborn說。“我們在Maze身上看到了這一點,在Egregor身上也看到了這一點。”
就像Maze一樣,Egregor也被作為一種服務來進行出售,該團伙會將其出售或出租給其他人惡意使用。Maze的一些同樣的附屬公司已經轉移到了Egregor,“所以這似乎將是繼Maze之后的下一件大事,直到有人變得聰明并提出更具創造性的變體為止”,Miller-Osborn說。
如何防御Egregor
當談到如何免受Egregor雙重贖金的影響時,更強有力的保護措施會有所幫助,Miller-Osborn說。“勒索軟件通常并不是特別復雜。在大多數情況下,它并不是超級隱蔽的惡意軟件。”
很多勒索軟件感染源于網絡釣魚。“它仍然是最常見的感染媒介,”因此針對網絡釣魚的更好的保護和培訓可能會有所幫助。“打開那些郵件時要小心;點擊那些鏈接時也要小心。這是我們經常說的重復的話,但這是避免勒索軟件攻擊的最簡單的方法。”
Miller-Osborn表示:“在內部,公司也可以做一些事情,將最敏感的數據保存在飛地中,不要有扁平的網絡,并識別出哪些是最敏感的或可能造成災難性損失的數據。”她建議,對于最敏感的數據,組織應該考慮增加一個額外的傳感器,比網絡的其他部分具有更高級別的額外安全監控控制。“顯然,所有這些都要花錢,而且不是小事。”
任何組織的高敏感數據也可能成為企業或國家支持的間諜威脅的目標,因此投資保護這些類型的記錄總體上會是一個好主意。“勒索軟件的行為者可能在尋找和過濾的敏感數據,也可能是出于間諜動機的威脅感興趣的數據,”Miller-Osborn說。“因此,讓這些數據得到更好的保護、更難訪問是件好事。”
通過培訓和加強網絡保護,有可能阻止勒索軟件,Miller-Osborn說。“它只需要在正確的地方配置正確的安全組件。這是一種安全態勢設計。”
就Egregor與Maze小組的聯系而言,“我們并沒有確鑿的證據,但許多小事讓我們相信這就是同一批人”,Miller-Osborn說。這種情況在商業惡意軟件中并不少見,一個組織會聲稱關閉,但后來卻以更名版本的形式出現,而且是同一些人。“看起來他們這么做是因為太多人關注他們了。壓力太大了。有太多的執法人員在尋找他們,”她說。“不管是出于什么原因,他們要做的就是把自己和以前的組織分開。”
不幸的是,這個以Egregor惡意軟件崛起為代表的高破壞性勒索軟件的新時代不會很快結束。“這種情況還會繼續下去。我想我們會看到更多的演員,尤其是犯罪方面的演員,開始利用這一點。因為他們已經認識到這樣做能賺多少錢。”
