三名據稱是 Egregor 勒索病毒 Ransomware (勒索軟體/綁架病毒)犯罪集團成員的嫌犯,二月在法國與烏克蘭政府聯合執行的一項行動當中遭到逮捕。這項逮捕行動是公私部門合作的共同成果,趨勢科技有幸參與其中。
Egregor 勒索病毒從 2020 年 9 月首次現身以來已發動過多起針對零售業、人力資源服務及其他企業機構的重大攻擊。該集團採用所謂勒索病毒服務 (Ransomware-as-a-service,簡稱 RaaS) 的經營模式,將勒索病毒銷售或出租給其他犯罪集團使用,如此一來,即使是經驗較為不足的犯罪集團也能發動勒索病毒攻擊。Egregor 跟許多知名的勒索病毒一樣採取「雙重勒索」的手法,一方面將受害者的資料加密,另一方面威脅受害者若不支付贖金就將其資料外流。
此勒索病毒通常經由一些遠端存取木馬程式 (如 QAKBOT) 來散布。此外,也會經由含有惡意附件的網路釣魚郵件,或經由遠端桌面協定 (RDP) 或虛擬私人網路 (VPN) 的攻擊漏洞來散布。
繼續閱讀Egregor是一種複雜的勒索病毒 Ransomware (勒索軟體/綁架病毒),在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。
在2020年底,Maze勒索病毒(近期最惡名昭彰的勒索病毒家族之一)背後組織宣布關閉運作。不過就在Maze退役後不久,被稱為Egregor的勒索病毒就跟著接班,據稱已成為之前Maze勒索病毒聯盟夥伴,繼續駭人的首選勒索病毒。Egregor跟Maze一樣使用了「雙重勒索」技術,駭客不僅威脅受害者不支付贖金將會失去資料,而且還會公開其資料。
2021/1/8 更新:美國聯邦調查局(FBI)對企業發出警告,要當心 Egregor 勒索軟體。
Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。
2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
這隻勒索病毒通常會跟QAKBOT之類的遠端訪問木馬(RAT)一起派送。而QAKBOT之前也被發現跟MegaCortex和ProLock勒索病毒家族有關,這顯示QAKBOT和Egregor間可能存在合作關係,或者是QAKBOT組織的新病毒。
跟 Ryuk 等新型勒索病毒家族使用的雙重勒索技術類似,Egregor 威脅要公開被竊資料來迫使受害者付款。除了加密資料外,Egregor幕後駭客也威脅要通知媒體,來公開企業遭受入侵的消息。
繼續閱讀