Egregor是什么?
Egregor是增长最快的勒索软件家族之一。它的名字来源于一个神秘世界,被定义为“一群人的集体能量,特别是当他们有一个共同目标的时候,”根据Recorded Future公司Insikt团队的说法。尽管安全公司对恶意软件的描述各不相同,但一致认为Egregor其实是Sekhmet勒索软件家族的一个变种。
它出现在2020年9月,与此同时,Maze勒索软件团伙已宣布打算关闭运营。然而,隶属于Maze小组的成员似乎已经毫不犹豫地转移到了Egregor。
Insikt以及Palo Alto Networks的Unit 42团队认为,Egregor与Qakbot等商业恶意软件以及IcedID和Ursnif等其他现成的恶意软件有关。Qakbot在2007年变得非常活跃,它使用了一种复杂的、难以破解的蠕虫病毒。这些恶意软件可以帮助攻击者获得对受害者系统的初始访问权限。
所有的安全研究人员似乎都同意Cybereason的Noutchnus团队的观点,即Egregor是一种迅速出现的、高度严重的威胁。根据安全公司Digital Shadows的说法,Egregor在全球19个不同行业中至少有71名受害者。
Egregor的双重勒索削弱了传统防御
像目前大多数正在被使用的勒索软件变种一样,Egregor使用了“双重勒索”,依靠一个“耻辱大厅”或泄漏页面上可公开访问的被盗数据来迫使受害者支付赎金。备受瞩目的Egregor受害者包括了Kmart、温哥华地铁系统、Barnes和Noble、视频游戏开发商育碧和Crytek,以及荷兰人力资源公司Randstad,攻击者从这些公司窃取数据,并将其中的一部分发布到了网络上。
像许多互联网罪犯一样,在冠状病毒危机期间,Egregor袭击者认为医疗设施和医院也应该是一个公平的游戏。马里兰州的GBMC Healthcare就是一家由于Egregor勒索软件攻击而不得不减少一些功能的医疗服务提供商,该公司于2020年12月初受到了攻击。该公司表示,它有着强有力的保护措施,但仍被迫推迟了一些选择性的程序。
双重勒索,或双重赎金,是这种新型勒索软件的特点,削弱了大多数公司以前可以部署的防御措施,即在攻击者对文件加密时依旧保持强大的备份。Egregor“在几个月前才真正出现,尤其是在2020年9月份,它真正开始在全世界范围内流行的时候,基本上就是在Maze勒索软件运营商关闭的同一时间。”,Palo Alto Networks公司Unit 42小组的威胁情报部副主任Jen Miller-Osborn告诉CSO。
“如果你有很好的离线备份,并且你知道它们是有效的,那么当你被勒索软件攻击时,就不是什么大问题,”她说。“你的商业目的可能会受到冲击,也可能会出现停机,但如果你有良好的备份,你就应该已经在恢复计划中纳入了这一点。”
现在,像Egregor这样的组织已经“明白了这个想法。因此,他们会说,‘好吧,我们已经窃取了你的数据,所以你必须为此向我们付费。或者我们只是打算公开发布它,这可能会毁了你的企业,或者至少损害你企业的声誉。’这就抹杀了长久以来行之有效的备份的策略。”Miller-Osborn说。“我们在Maze身上看到了这一点,在Egregor身上也看到了这一点。”
就像Maze一样,Egregor也被作为一种服务来进行出售,该团伙会将其出售或出租给其他人恶意使用。Maze的一些同样的附属公司已经转移到了Egregor,“所以这似乎将是继Maze之后的下一件大事,直到有人变得聪明并提出更具创造性的变体为止”,Miller-Osborn说。
如何防御Egregor
当谈到如何免受Egregor双重赎金的影响时,更强有力的保护措施会有所帮助,Miller-Osborn说。“勒索软件通常并不是特别复杂。在大多数情况下,它并不是超级隐蔽的恶意软件。”
很多勒索软件感染源于网络钓鱼。“它仍然是最常见的感染媒介,”因此针对网络钓鱼的更好的保护和培训可能会有所帮助。“打开那些邮件时要小心;点击那些链接时也要小心。这是我们经常说的重复的话,但这是避免勒索软件攻击的最简单的方法。”
Miller-Osborn表示:“在内部,公司也可以做一些事情,将最敏感的数据保存在飞地中,不要有扁平的网络,并识别出哪些是最敏感的或可能造成灾难性损失的数据。”她建议,对于最敏感的数据,组织应该考虑增加一个额外的传感器,比网络的其他部分具有更高级别的额外安全监控控制。“显然,所有这些都要花钱,而且不是小事。”
任何组织的高敏感数据也可能成为企业或国家支持的间谍威胁的目标,因此投资保护这些类型的记录总体上会是一个好主意。“勒索软件的行为者可能在寻找和过滤的敏感数据,也可能是出于间谍动机的威胁感兴趣的数据,”Miller-Osborn说。“因此,让这些数据得到更好的保护、更难访问是件好事。”
通过培训和加强网络保护,有可能阻止勒索软件,Miller-Osborn说。“它只需要在正确的地方配置正确的安全组件。这是一种安全态势设计。”
就Egregor与Maze小组的联系而言,“我们并没有确凿的证据,但许多小事让我们相信这就是同一批人”,Miller-Osborn说。这种情况在商业恶意软件中并不少见,一个组织会声称关闭,但后来却以更名版本的形式出现,而且是同一些人。“看起来他们这么做是因为太多人关注他们了。压力太大了。有太多的执法人员在寻找他们,”她说。“不管是出于什么原因,他们要做的就是把自己和以前的组织分开。”
不幸的是,这个以Egregor恶意软件崛起为代表的高破坏性勒索软件的新时代不会很快结束。“这种情况还会继续下去。我想我们会看到更多的演员,尤其是犯罪方面的演员,开始利用这一点。因为他们已经认识到这样做能赚多少钱。”