數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

 

Egregor是什麽?

 

Egregor是增長最快的勒索軟件家(jiā)族之一。它的名字來(lái)源于一個(gè)神秘世界，被定義為(wèi)“一群人(rén)的集體(tǐ)能量，特别是當他們有(yǒu)一個(gè)共同目标的時(shí)候，”根據Recorded Future公司Insikt團隊的說法。盡管安全公司對惡意軟件的描述各不相同，但(dàn)一緻認為(wèi)Egregor其實是Sekhmet勒索軟件家(jiā)族的一個(gè)變種。

 

它出現在2020年9月，與此同時(shí)，Maze勒索軟件團夥已宣布打算(suàn)關閉運營。然而，隸屬于Maze小(xiǎo)組的成員似乎已經毫不猶豫地轉移到了Egregor。

 

Insikt以及Palo Alto Networks的Unit 42團隊認為(wèi)，Egregor與Qakbot等商業惡意軟件以及IcedID和(hé)Ursnif等其他現成的惡意軟件有(yǒu)關。Qakbot在2007年變得(de)非常活躍，它使用了一種複雜的、難以破解的蠕蟲病毒。這些(xiē)惡意軟件可(kě)以幫助攻擊者獲得(de)對受害者系統的初始訪問權限。

 

所有(yǒu)的安全研究人(rén)員似乎都同意Cybereason的Noutchnus團隊的觀點，即Egregor是一種迅速出現的、高(gāo)度嚴重的威脅。根據安全公司Digital Shadows的說法，Egregor在全球19個(gè)不同行(xíng)業中至少(shǎo)有(yǒu)71名受害者。

 

Egregor的雙重勒索削弱了傳統防禦

 

像目前大(dà)多(duō)數(shù)正在被使用的勒索軟件變種一樣，Egregor使用了“雙重勒索”，依靠一個(gè)“恥辱大(dà)廳”或洩漏頁面上(shàng)可(kě)公開(kāi)訪問的被盜數(shù)據來(lái)迫使受害者支付贖金。備受矚目的Egregor受害者包括了Kmart、溫哥(gē)華地鐵(tiě)系統、Barnes和(hé)Noble、視(shì)頻遊戲開(kāi)發商育碧和(hé)Crytek，以及荷蘭人(rén)力資源公司Randstad，攻擊者從這些(xiē)公司竊取數(shù)據，并将其中的一部分發布到了網絡上(shàng)。

 

像許多(duō)互聯網罪犯一樣，在冠狀病毒危機期間(jiān)，Egregor襲擊者認為(wèi)醫(yī)療設施和(hé)醫(yī)院也應該是一個(gè)公平的遊戲。馬裏蘭州的GBMC Healthcare就是一家(jiā)由于Egregor勒索軟件攻擊而不得(de)不減少(shǎo)一些(xiē)功能的醫(yī)療服務提供商，該公司于2020年12月初受到了攻擊。該公司表示，它有(yǒu)着強有(yǒu)力的保護措施，但(dàn)仍被迫推遲了一些(xiē)選擇性的程序。

 

雙重勒索，或雙重贖金，是這種新型勒索軟件的特點，削弱了大(dà)多(duō)數(shù)公司以前可(kě)以部署的防禦措施，即在攻擊者對文件加密時(shí)依舊(jiù)保持強大(dà)的備份。Egregor“在幾個(gè)月前才真正出現，尤其是在2020年9月份，它真正開(kāi)始在全世界範圍內(nèi)流行(xíng)的時(shí)候，基本上(shàng)就是在Maze勒索軟件運營商關閉的同一時(shí)間(jiān)。”，Palo Alto Networks公司Unit 42小(xiǎo)組的威脅情報部副主任Jen Miller-Osborn告訴CSO。

 

“如果你(nǐ)有(yǒu)很(hěn)好的離線備份，并且你(nǐ)知道(dào)它們是有(yǒu)效的，那(nà)麽當你(nǐ)被勒索軟件攻擊時(shí)，就不是什麽大(dà)問題，”她說。“你(nǐ)的商業目的可(kě)能會(huì)受到沖擊，也可(kě)能會(huì)出現停機，但(dàn)如果你(nǐ)有(yǒu)良好的備份，你(nǐ)就應該已經在恢複計(jì)劃中納入了這一點。”

 

現在，像Egregor這樣的組織已經“明(míng)白了這個(gè)想法。因此，他們會(huì)說，‘好吧(ba)，我們已經竊取了你(nǐ)的數(shù)據，所以你(nǐ)必須為(wèi)此向我們付費。或者我們隻是打算(suàn)公開(kāi)發布它，這可(kě)能會(huì)毀了你(nǐ)的企業，或者至少(shǎo)損害你(nǐ)企業的聲譽。’這就抹殺了長久以來(lái)行(xíng)之有(yǒu)效的備份的策略。”Miller-Osborn說。“我們在Maze身上(shàng)看到了這一點，在Egregor身上(shàng)也看到了這一點。”

 

就像Maze一樣，Egregor也被作(zuò)為(wèi)一種服務來(lái)進行(xíng)出售，該團夥會(huì)将其出售或出租給其他人(rén)惡意使用。Maze的一些(xiē)同樣的附屬公司已經轉移到了Egregor，“所以這似乎将是繼Maze之後的下一件大(dà)事，直到有(yǒu)人(rén)變得(de)聰明(míng)并提出更具創造性的變體(tǐ)為(wèi)止”，Miller-Osborn說。

 

如何防禦Egregor

 

當談到如何免受Egregor雙重贖金的影(yǐng)響時(shí)，更強有(yǒu)力的保護措施會(huì)有(yǒu)所幫助，Miller-Osborn說。“勒索軟件通(tōng)常并不是特别複雜。在大(dà)多(duō)數(shù)情況下，它并不是超級隐蔽的惡意軟件。”

 

很(hěn)多(duō)勒索軟件感染源于網絡釣魚。“它仍然是最常見的感染媒介，”因此針對網絡釣魚的更好的保護和(hé)培訓可(kě)能會(huì)有(yǒu)所幫助。“打開(kāi)那(nà)些(xiē)郵件時(shí)要小(xiǎo)心;點擊那(nà)些(xiē)鏈接時(shí)也要小(xiǎo)心。這是我們經常說的重複的話(huà)，但(dàn)這是避免勒索軟件攻擊的最簡單的方法。”

 

Miller-Osborn表示：“在內(nèi)部，公司也可(kě)以做(zuò)一些(xiē)事情，将最敏感的數(shù)據保存在飛地中，不要有(yǒu)扁平的網絡，并識别出哪些(xiē)是最敏感的或可(kě)能造成災難性損失的數(shù)據。”她建議，對于最敏感的數(shù)據，組織應該考慮增加一個(gè)額外的傳感器(qì)，比網絡的其他部分具有(yǒu)更高(gāo)級别的額外安全監控控制(zhì)。“顯然，所有(yǒu)這些(xiē)都要花(huā)錢(qián)，而且不是小(xiǎo)事。”

 

任何組織的高(gāo)敏感數(shù)據也可(kě)能成為(wèi)企業或國家(jiā)支持的間(jiān)諜威脅的目标，因此投資保護這些(xiē)類型的記錄總體(tǐ)上(shàng)會(huì)是一個(gè)好主意。“勒索軟件的行(xíng)為(wèi)者可(kě)能在尋找和(hé)過濾的敏感數(shù)據，也可(kě)能是出于間(jiān)諜動機的威脅感興趣的數(shù)據，”Miller-Osborn說。“因此，讓這些(xiē)數(shù)據得(de)到更好的保護、更難訪問是件好事。”

 

通(tōng)過培訓和(hé)加強網絡保護，有(yǒu)可(kě)能阻止勒索軟件，Miller-Osborn說。“它隻需要在正确的地方配置正确的安全組件。這是一種安全态勢設計(jì)。”

 

就Egregor與Maze小(xiǎo)組的聯系而言，“我們并沒有(yǒu)确鑿的證據，但(dàn)許多(duō)小(xiǎo)事讓我們相信這就是同一批人(rén)”，Miller-Osborn說。這種情況在商業惡意軟件中并不少(shǎo)見，一個(gè)組織會(huì)聲稱關閉，但(dàn)後來(lái)卻以更名版本的形式出現，而且是同一些(xiē)人(rén)。“看起來(lái)他們這麽做(zuò)是因為(wèi)太多(duō)人(rén)關注他們了。壓力太大(dà)了。有(yǒu)太多(duō)的執法人(rén)員在尋找他們，”她說。“不管是出于什麽原因，他們要做(zuò)的就是把自己和(hé)以前的組織分開(kāi)。”

 

不幸的是，這個(gè)以Egregor惡意軟件崛起為(wèi)代表的高(gāo)破壞性勒索軟件的新時(shí)代不會(huì)很(hěn)快結束。“這種情況還(hái)會(huì)繼續下去。我想我們會(huì)看到更多(duō)的演員，尤其是犯罪方面的演員，開(kāi)始利用這一點。因為(wèi)他們已經認識到這樣做(zuò)能賺多(duō)少(shǎo)錢(qián)。”

 

轉自企業網d1net編譯