專攻擊知名企業的「雙重勒索」Egregor勒索病毒不只加密資料,還會主動通知媒體,讓被駭企業消息曝光

Egregor是一種複雜的勒索病毒 Ransomware (勒索軟體/綁架病毒),在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

在2020年底,Maze勒索病毒(近期最惡名昭彰的勒索病毒家族之一)背後組織宣布關閉運作。不過就在Maze退役後不久,被稱為Egregor的勒索病毒就跟著接班,據稱已成為之前Maze勒索病毒聯盟夥伴,繼續駭人的首選勒索病毒。Egregor跟Maze一樣使用了「雙重勒索」技術,駭客不僅威脅受害者不支付贖金將會失去資料,而且還會公開其資料。

◼2021/1/8 更新:美國聯邦調查局(FBI)對企業發出警告,要當心 Egregor 勒索軟體。

使用先進的混淆技術 的Egregor


Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)

這隻勒索病毒通常會跟QAKBOT之類的遠端訪問木馬(RAT)一起派送。而QAKBOT之前也被發現跟MegaCortex和ProLock勒索病毒家族有關,這顯示QAKBOT和Egregor間可能存在合作關係,或者是QAKBOT組織的新病毒。

跟 Ryuk 等新型勒索病毒家族使用的雙重勒索技術類似,Egregor 威脅要公開被竊資料來迫使受害者付款。除了加密資料外,Egregor幕後駭客也威脅要通知媒體,來公開企業遭受入侵的消息。

從表面上看,Egregor似乎是Sekhmet勒索病毒的複製品,因為它共享了大多數程式碼和行為,其中最值得注意的是其混淆技術、功能及API呼叫和字串。此外,跟Sekhmet一樣,它也會給每個檔案加上隨機副檔名。不過考慮到兩者使用資料外洩網站間的不同,Egregor和Sekhmet 可能是由完全不同的團體操作。

儘管沒有Egregor一開始如何進入企業內部的具體資訊,但很可能是用跟其他針對性勒索病毒相似的技術,如RDP入侵,入侵網站或被竊帳號。

Egregor的特徵之一是使用先進的混淆技術,它需要用特定參數來解密有效負載,因此如果沒有該參數,很難對勒索病毒變種進行靜態或動態分析。

根據 Egregor 的勒贖通知,受害者支付贖金不僅能夠讓資料解密。攻擊者還會提供建議來確保公司網路的安全。

Figure 1. Egregor ransom note
圖1. Egregor勒贖通知
圖1. Egregor勒贖通知

下圖是其攻擊鏈的簡化版本:

Figure 2. Egregor attack chain
圖2. Egregor攻擊鏈
圖2. Egregor攻擊鏈

除了零售業者/書店,最近的還攻擊遊戲和人力資源行業


許多Egregor攻擊都是針對高知名度的目標,包括在10月攻擊一家知名書店和12月攻擊一家大型零售業者。在前者,Egregor勒索病毒組織聲稱收集了未加密的財務和稽核資料,儘管確切的被竊資料性質尚不清楚。

Egregor還會列印勒贖通知。根據我們的分析,並非是駭客有意去列印勒贖通知。這應該是勒索病毒加密動作所造成,它會枚舉任何類型的網路資源(包括印表機資源)。接著它會連接網路資源來加密檔案並植入勒贖通知。有可能是因為印表機和銷售端點(POS)機器連接受感染電腦,從而導致勒贖通知被列印。

Egregor最近的受害者還包括了遊戲和人力資源行業的主要企業。

如何最小化 Egregor 及其他勒索病毒的影響?


雖然目前仍沒有具體證據顯示Egregor一開始是如何進入內部系統,但已知Maze等其他勒索病毒會利用漏洞來進行攻擊。所以重要的是企業需要修補和更新系統軟體來解決可能被利用的漏洞。此外也建議企業要保持電腦和系統更新,防止這類情況發生。

企業還應該定期對系統進行安全稽核來確保盡可能地受到安全防護。只要可以,公司資料應該定期進行備份,最好是遵循3-2-1 備份原則

,也就是以兩種不同格式儲存三份副本,並且至少有一份儲存在異地。

同時,應該為員工進行適當的教育訓練,讓他們了解網路安全的最佳實作,尤其是關於勒索病毒常用來侵入企業的方法,如電子郵件相關攻擊和入侵網站。

想對勒索病毒做到更強大、更主動的防禦,我們建議使用下列趨勢科技解決方案:

  • 趨勢科技XDR for Users應用人工智慧(AI)和分析功能,能夠早期偵測端點及系統各防護層間的惡意威脅。
  • 趨勢科技Apex One提供可採取行動的分析,更豐富的調查功能以及對整個網路的集中掌握能力。
  • 趨勢科技 Deep Discovery Email Inspector 透過客製化沙箱及其他偵測技術來偵測、封鎖和分析惡意郵件附件檔

@原文出處:Egregor  Ransomware Launches String of High-Profile Attacks to End 2020

◾延伸閱讀:勒索病毒攻擊如何對零售業造成影響?