新出现的Egregor组织采用了“双重赎金”技术威胁损害企业声誉,增加支付压力。
Egregor是什么?
Egregor它是最快的勒索软件家族之一。它的名字来自一个神秘的世界,被定义为“一群人的集体能量,特别是当他们有一个共同的目标时,”根据Recorded Future公司Insikt团队的说法。虽然安全公司对恶意软件的描述不同,但一致认为Egregor其实是Sekhmet勒索软件家族的变种。
与此同时,它出现在2020年9月,Maze勒索软件团伙已宣布计划关闭运营。然而,它属于Maze小组成员似乎毫不犹豫地转移到了Egregor。
Insikt以及Palo Alto Networks的Unit 42团队认为,Egregor与Qakbot等商业恶意软件和IcedID和Ursnif等待其他现成的恶意软件。Qakbot它在2007年变得非常活跃,使用了一种复杂而难以破解的蠕虫病毒。这些恶意软件可以帮助攻击者获得对受害者系统的初始访问权。
似乎所有的安全研究人员都同意了Cybereason的Noutchnus团队观点,即Egregor这是一种快速而严重的威胁。根据安全公司Digital Shadows的说法,Egregor在全球19个不同行业中至少有71名受害者。
Egregor双重勒索削弱了传统的防御
就像目前大多数正在使用的勒索软件变种一样,Egregor使用了“双重勒索”,依靠一个“耻辱大厅”或者泄露页面上可以公开访问的盗窃数据,迫使受害者支付赎金。备受关注的Egregor包括受害者Kmart、温哥华地铁系统,Barnes和Noble、育碧和视频游戏开发商Crytek,荷兰人力资源公司Randstad,攻击者从这些公司窃取数据,并将其中一些发布到网络上。
在冠状病毒危机期间,像许多互联网罪犯一样,Egregor袭击者认为医疗设施和医院也应该是公平的游戏。马里兰州GBMC Healthcare因为一家Egregor2020年12月初,勒索软件攻击不得不减少某些功能的医疗服务提供商受到攻击。该公司表示,它有很强的保护措施,但仍被迫推迟一些选择性程序。
双勒索或双赎金是这种新型勒索软件的特点,削弱了大多数公司以前可以部署的防御措施,即攻击者在加密文件时仍然保持强大的备份。Egregor“几个月前才真正出现,尤其是2020年9月,它真正开始在全世界流行的时候,基本上是在Maze勒索软件运营商同时关闭。”,Palo Alto Networks公司Unit 42组威胁情报部副主任Jen Miller-Osborn告诉CSO。
“假如你有很好的离线备份,并且你知道它们是有效的,那么当你被勒索软件攻击时,就不会有什么大问题,”她说。“你的商业目的可能会受到冲击或停机,但如果您有良好的备份,您应该已经将此纳入恢复计划。”
现在,像Egregor已经有这样的组织了“明白了这个想法。因此,他们会说,‘嗯,我们已经窃取了你的数据,所以你必须为此付费。或者我们只是打算公开发布,这可能会破坏你的企业,或者至少损害你的声誉。’这抹杀了长期有效备份的策略。”Miller-Osborn说。“我们在Maze看到这一点,在身上Egregor我也看到了这一点。”
就像Maze一样,Egregor该团伙还将其出售或出租给他人作为恶意使用的服务。Maze一些同样的附属公司已经转移到Egregor,“所以这似乎是继承Maze下一件大事,直到有人变得聪明,提出更有创意的变体”,Miller-Osborn说。
如何防御Egregor
说到如何免受Egregor在双重赎金的影响下,更强有力的保护措施会有所帮助,Miller-Osborn说。“勒索软件通常并不特别复杂。在大多数情况下,它不是一个超级隐藏的恶意软件。”
很多勒索软件感染源于网络钓鱼。“它仍然是最常见的感染媒介,”因此,更好地保护和培训网络钓鱼可能有帮助。“打开那些电子邮件时要小心;点击这些链接时要小心。这是我们常说的重复,但这是避免勒索软件攻击的最简单方法。”
Miller-Osborn表示:“在内部,公司也可以做一些事情,在飞地上保存最敏感的数据,没有平面网络,并确定哪些数据最敏感或可能造成灾难性损失。”她建议,对于最敏感的数据,组织应考虑增加一个额外的传感器,比网络的其他部分有更高水平的额外安全监控。“显然,这一切都要花钱,而且不是小事。”
任何组织的高敏感数据也可能成为企业或国家支持的间谍威胁的目标,因此投资保护这些类型的记录通常是一个好主意。“勒索软件的行为者可能在寻找和过滤的敏感数据,也可能是出于间谍动机的威胁感兴趣的数据,”Miller-Osborn说。“因此,更好地保护和访问这些数据是件好事。”
有可能通过培训和加强网络保护来阻止勒索软件,Miller-Osborn说。“它只需要在正确的地方配置正确的安全部件。这是一种安全设计。”
就Egregor与Maze就小组联系而言,“我们没有确凿的证据,但许多小事让我们相信这是同一群人”,Miller-Osborn说。这种情况在商业恶意软件中并不少见。一个组织会声称关闭,但后来以更名版的形式出现,是同一个人。“他们这样做似乎是因为关注他们的人太多了。压力太大了。执法人员太多了,”她说。“不管是什么原因,他们要做的就是把自己和以前的组织分开。”
不幸的是,这个Egregor以恶意软件崛起为代表的高破坏性勒索软件的新时代不会很快结束。“这种情况将继续下去。我想我们会看到更多的演员,尤其是犯罪演员,开始利用这一点。因为他们已经意识到他们能赚多少钱。”