Egregor勒索软件组织详解以及防范它的技巧

Egregor是增长最快的勒索软件家族之一。它的名字来源于一个神秘世界，被定义为“一群人的集体能量，特别是当他们有一个共同目标的时候，”根据Recorded Future公司Insikt团队的说法。尽管安全公司对恶意软件的描述各不相同，但一致认为Egregor其实是Sekhmet勒索软件家族的一个变种。

它出现在2020年9月，与此同时，Maze勒索软件团伙已宣布打算关闭运营。然而，隶属于Maze小组的成员似乎已经毫不犹豫地转移到了Egregor。

Insikt以及Palo Alto Networks的Unit 42团队认为，Egregor与Qakbot等商业恶意软件以及IcedID和Ursnif等其他现成的恶意软件有关。Qakbot在2007年变得非常活跃，它使用了一种复杂的、难以破解的蠕虫病毒。这些恶意软件可以帮助攻击者获得对受害者系统的初始访问权限。

所有的安全研究人员似乎都同意Cybereason的Noutchnus团队的观点，即Egregor是一种迅速出现的、高度严重的威胁。根据安全公司Digital Shadows的说法，Egregor在全球19个不同行业中至少有71名受害者。

Egregor的双重勒索削弱了传统防御

像目前大多数正在被使用的勒索软件变种一样，Egregor使用了“双重勒索”，依靠一个“耻辱大厅”或泄漏页面上可公开访问的被盗数据来迫使受害者支付赎金。备受瞩目的Egregor受害者包括了Kmart、温哥华地铁系统、Barnes和Noble、视频游戏开发商育碧和Crytek，以及荷兰人力资源公司Randstad，攻击者从这些公司窃取数据，并将其中的一部分发布到了网络上。

像许多互联网罪犯一样，在冠状病毒危机期间，Egregor袭击者认为医疗设施和医院也应该是一个公平的游戏。马里兰州的GBMC Healthcare就是一家由于Egregor勒索软件攻击而不得不减少一些功能的医疗服务提供商，该公司于2020年12月初受到了攻击。该公司表示，它有着强有力的保护措施，但仍被迫推迟了一些选择性的程序。

双重勒索，或双重赎金，是这种新型勒索软件的特点，削弱了大多数公司以前可以部署的防御措施，即在攻击者对文件加密时依旧保持强大的备份。Egregor“在几个月前才真正出现，尤其是在2020年9月份，它真正开始在全世界范围内流行的时候，基本上就是在Maze勒索软件运营商关闭的同一时间。”，Palo Alto Networks公司Unit 42小组的威胁情报部副主任Jen Miller-Osborn告诉CSO。

“如果你有很好的离线备份，并且你知道它们是有效的，那么当你被勒索软件攻击时，就不是什么大问题，”她说。“你的商业目的可能会受到冲击，也可能会出现停机，但如果你有良好的备份，你就应该已经在恢复计划中纳入了这一点。”

现在，像Egregor这样的组织已经“明白了这个想法。因此，他们会说，‘好吧，我们已经窃取了你的数据，所以你必须为此向我们付费。或者我们只是打算公开发布它，这可能会毁了你的企业，或者至少损害你企业的声誉。’这就抹杀了长久以来行之有效的备份的策略。”Miller-Osborn说。“我们在Maze身上看到了这一点，在Egregor身上也看到了这一点。”

就像Maze一样，Egregor也被作为一种服务来进行出售，该团伙会将其出售或出租给其他人恶意使用。Maze的一些同样的附属公司已经转移到了Egregor，“所以这似乎将是继Maze之后的下一件大事，直到有人变得聪明并提出更具创造性的变体为止”，Miller-Osborn说。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!