趨勢科技協助逮捕 Egregor 勒索病毒犯罪集團

三名據稱是 Egregor  勒索病毒 Ransomware (勒索軟體/綁架病毒)犯罪集團成員的嫌犯,二月在法國與烏克蘭政府聯合執行的一項行動當中遭到逮捕。這項逮捕行動是公私部門合作的共同成果,趨勢科技有幸參與其中。

Egregor將勒索病毒銷售或出租給犯罪集團


Egregor 勒索病毒從 2020 年 9 月首次現身以來已發動過多起針對零售業人力資源服務及其他企業機構的重大攻擊。該集團採用所謂勒索病毒服務 (Ransomware-as-a-service,簡稱 RaaS) 的經營模式,將勒索病毒銷售或出租給其他犯罪集團使用,如此一來,即使是經驗較為不足的犯罪集團也能發動勒索病毒攻擊。Egregor 跟許多知名的勒索病毒一樣採取「雙重勒索」的手法,一方面將受害者的資料加密,另一方面威脅受害者若不支付贖金就將其資料外流。

此勒索病毒通常經由一些遠端存取木馬程式 (如 QAKBOT) 來散布。此外,也會經由含有惡意附件的網路釣魚郵件,或經由遠端桌面協定 (RDP) 或虛擬私人網路 (VPN) 的攻擊漏洞來散布。

受害企業分布於物流新聞出版與 電玩遊戲開發等產業


這起針對 Egregor 集團的查緝行動,是由法國執法單位在該集團攻擊了數家法國企業之後啟動,受害企業分布於物流新聞出版與 電玩遊戲開發等產業。在烏克蘭的協助下,法國執法單位成功追蹤到這三名嫌犯並加以逮捕。

法國司法警察電腦安全事件應變小組 (CSIRT-PJ) 主任 François B. 在接受  The Record 關於此事件的電子郵件訪問中指出,該起行動也獲得了一些網路資安與事件應變機構的協助,其中包括趨勢科技。他表示,這些機構積極參與了調查並「提供我們最準確的案例、工具與威脅情報資料。」

如何防範系統遭到勒索病毒攻擊?


勒索病毒是一項持續存在的資安問題,有時甚至可能迅速演變成更具破壞力的威脅。要防範系統遭到勒索病毒攻擊,使用者最好養成以下良好資安習慣:

  • 在未確認電子郵件來源之前,切勿下載其附件檔案或點選郵件中的連結。
  • 定期修補及更新作業系統、程式與軟體。
  • 定期備份檔案,並遵守3-2-1 備份原則:至少複製 3 份、儲存成 2 種不同媒體、至少保留 1 份在備援地點。


此外,像 趨勢科技 XDRTM 這樣的解決方案也可提供多層式防護來保護各項系統,包括:電子郵件、端點、伺服器、雲端工作負載以及網路。此產品可從上述所有防護層當中蒐集資料並進行交叉關聯,如此一來,資安與 IT 團隊就能獲得更完整的攻擊背景資訊,而這些資訊單獨看來有時毫不起眼。掌握這些資訊之後,企業就能更快、更準確發掘威脅。

原文出處:Alleged Members of Egregor Ransomware Cartel Arrested