机会主义的eGregor赎金软件是一种新兴和积极的威胁
据记载未来的诺克特集团刚刚发布了对eGregor的纪录,新紧急的eGregor赎金软件在2020年9月20日举行的全球范围内有针对性的组织,据记载的未来的诺克特集团尚未释放对eGregor的详细研究,因此对全球规模的针对性的组织不同时的目标组织应警惕这种特别危险的新菌株。
部分SEKHMET RANSOMWARE系列,eGregor连接到QAKBOT或QBOT银行银行木马的运营商,并且可用于其复杂性,采用先进的混淆和反分析技术。
录制的未来表示,它发现了多个受害者,最值得注意的是,日期是美国书店链Barnes and Noble,以集团的“eGregor新闻”网站命名,它用于发布名称,域名和批判性地,其灭绝的数据受害者 - eGregor是采用双重敲诈技术的多个群体之一。
据研究人员表示,“根据eGregor新闻中提供的信息,并负责133名受害者,并负责13%的受害者,这是一家目前已知的赎金软件敲诈勒索案件的13%,这是刚刚的运营的巨大号码,”研究人员表示。
记录的未来编制的数据表明,eGregor现在是第二个最广泛的赎制员菌株循环,良好的迷宫,这占今年受害者的约26%,而是在其他高调的瑞典舰队,如Revil / SodInokibi,Doppelpaymer,Clop等其他高调的赎金和ragnar储物柜。
“我们相信赎金软件运营商及其关联公司是自然的机会主义,并不专注于特定的行业或地理区域,而是根据可访问性,机会和公司收入选择和追求的追求公司,”研究人员表示。“这些威胁演员很可能会继续始终如一地达到更大的组织。
“这项评估是在经济方面取决于大型公司固有的广泛攻击表面,使威胁演员更多地获得访问权限。此外,这些企业维持丰富的资源,一般都有强大的网络保险政策,使他们更有可能支付大型赎金。“
特别注意是与Qakbot Trojan的联系,其运营商似乎放弃了他们使用挥发赎金软件并充满热情的eGregor。该连接也突出显示由组IB,由于其类似的技术,可以作为合理准确的,例如使用恶意Microsoft Excel文档模拟复杂的复合电子表格来提供QAkbot的使用。
由于类似的初始访问技术,包括滥用远程桌面协议(RDP),并且在Flash Player和Pulse VPN中披露了常见漏洞和曝光(CVE),并且抑制了这些漏洞和脉冲VPN,因此可以将Egregor绑定到迷宫。 。
赎金软件本身有三个主要阶段 - 一个顶级包装机,解密下一阶段,后续阶段使用运行时传递的加密密钥来解密最终有效载荷,最后是eGregor本身。录制的未来指出,如果没有正确的键运行时传递给ransomware,则无法解密或分析有效载荷。
与许多瑞马航空公司一样,eGregor不执行它的目标系统的默认语言ID,以亚美尼亚人,阿塞里,白俄罗斯人,格鲁吉亚,哈萨克,Kyrgz,罗马尼亚语,鞑靼人,土库曼,乌克兰,乌兹别克斯坦,而且俄语差不多说。
记录的未来表示,虽然仍然有很多了解eGregor,但有许多步骤安全防御者现在可以采取。
这些应包括监控使用商品工具,如钴罢工,或QAKBOT作为送货机制。面对互联网的系统应适当康明并修补以减轻CVE开发的威胁,内部用户应遵循网络钓鱼攻击风险的标准指导,使用假下载网站以及未被捆绑的靶向的目标系统或对这种系统中的错误配置的开发。
“egregor背后的团队迄今为止迄今为止有几个高调的组织,很可能继续这样做,”研究人员说。“eGregor背后的小组可能会仍然活跃,并继续与复杂的威胁演员和大型游戏狩猎相关的雇用技术。”
可以在此处找到更多数据和有关eGregor如何工作的数据和信息,包括赎金笔记样本。