專攻擊知名企業的「雙重勒索」Egregor勒索病毒不只加密資料,還會主動通知媒體,讓被駭企業消息曝光

Egregor是一種複雜的勒索病毒 Ransomware (勒索軟體/綁架病毒)，在2020年9月首次出現，接著參與許多知名的攻擊，目標包括了大型零售業者及其他組織。

在2020年底，Maze勒索病毒（近期最惡名昭彰的勒索病毒家族之一）背後組織宣布關閉運作。不過就在Maze退役後不久，被稱為Egregor的勒索病毒就跟著接班，據稱已成為之前Maze勒索病毒聯盟夥伴,繼續駭人的首選勒索病毒。Egregor跟Maze一樣使用了「雙重勒索」技術，駭客不僅威脅受害者不支付贖金將會失去資料，而且還會公開其資料。

◼2021/1/8 更新:美國聯邦調查局（FBI）對企業發出警告，要當心 Egregor 勒索軟體。

使用先進的混淆技術的Egregor

Egregor是一種複雜的勒索病毒，在2020年9月首次出現，接著參與許多知名的攻擊，目標包括了大型零售業者及其他組織。

2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索，收銀機檔案被加密後，還不斷印出勒索訊息。(如下圖)

El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020

這隻勒索病毒通常會跟QAKBOT之類的遠端訪問木馬（RAT）一起派送。而QAKBOT之前也被發現跟MegaCortex和ProLock勒索病毒家族有關，這顯示QAKBOT和Egregor間可能存在合作關係，或者是QAKBOT組織的新病毒。

跟 Ryuk 等新型勒索病毒家族使用的雙重勒索技術類似，Egregor 威脅要公開被竊資料來迫使受害者付款。除了加密資料外，Egregor幕後駭客也威脅要通知媒體，來公開企業遭受入侵的消息。

從表面上看，Egregor似乎是Sekhmet勒索病毒的複製品，因為它共享了大多數程式碼和行為，其中最值得注意的是其混淆技術、功能及API呼叫和字串。此外，跟Sekhmet一樣，它也會給每個檔案加上隨機副檔名。不過考慮到兩者使用資料外洩網站間的不同，Egregor和Sekhmet 可能是由完全不同的團體操作。

儘管沒有Egregor一開始如何進入企業內部的具體資訊，但很可能是用跟其他針對性勒索病毒相似的技術，如RDP入侵，入侵網站或被竊帳號。

Egregor的特徵之一是使用先進的混淆技術，它需要用特定參數來解密有效負載，因此如果沒有該參數，很難對勒索病毒變種進行靜態或動態分析。

根據 Egregor 的勒贖通知，受害者支付贖金不僅能夠讓資料解密。攻擊者還會提供建議來確保公司網路的安全。