信息化觀察網(wǎng)

新出現(xiàn)的Egregor組織采用了“雙重贖金”技術(shù)來威脅損害企業(yè)的聲譽并增加了支付壓力。

Egregor是什么?

Egregor是增長最快的勒索軟件家族之一。它的名字來源于一個神秘世界，被定義為“一群人的集體能量，特別是當(dāng)他們有一個共同目標(biāo)的時候，”根據(jù)Recorded Future公司Insikt團隊的說法。盡管安全公司對惡意軟件的描述各不相同，但一致認為Egregor其實是Sekhmet勒索軟件家族的一個變種。

它出現(xiàn)在2020年9月，與此同時，Maze勒索軟件團伙已宣布打算關(guān)閉運營。然而，隸屬于Maze小組的成員似乎已經(jīng)毫不猶豫地轉(zhuǎn)移到了Egregor。

Insikt以及Palo Alto Networks的Unit 42團隊認為，Egregor與Qakbot等商業(yè)惡意軟件以及IcedID和Ursnif等其他現(xiàn)成的惡意軟件有關(guān)。Qakbot在2007年變得非?；钴S，它使用了一種復(fù)雜的、難以破解的蠕蟲病毒。這些惡意軟件可以幫助攻擊者獲得對受害者系統(tǒng)的初始訪問權(quán)限。

所有的安全研究人員似乎都同意Cybereason的Noutchnus團隊的觀點，即Egregor是一種迅速出現(xiàn)的、高度嚴(yán)重的威脅。根據(jù)安全公司Digital Shadows的說法，Egregor在全球19個不同行業(yè)中至少有71名受害者。

Egregor的雙重勒索削弱了傳統(tǒng)防御

像目前大多數(shù)正在被使用的勒索軟件變種一樣，Egregor使用了“雙重勒索”，依靠一個“恥辱大廳”或泄漏頁面上可公開訪問的被盜數(shù)據(jù)來迫使受害者支付贖金。備受矚目的Egregor受害者包括了Kmart、溫哥華地鐵系統(tǒng)、Barnes和Noble、視頻游戲開發(fā)商育碧和Crytek，以及荷蘭人力資源公司Randstad，攻擊者從這些公司竊取數(shù)據(jù)，并將其中的一部分發(fā)布到了網(wǎng)絡(luò)上。

像許多互聯(lián)網(wǎng)罪犯一樣，在冠狀病毒危機期間，Egregor襲擊者認為醫(yī)療設(shè)施和醫(yī)院也應(yīng)該是一個公平的游戲。馬里蘭州的GBMC Healthcare就是一家由于Egregor勒索軟件攻擊而不得不減少一些功能的醫(yī)療服務(wù)提供商，該公司于2020年12月初受到了攻擊。該公司表示，它有著強有力的保護措施，但仍被迫推遲了一些選擇性的程序。

雙重勒索，或雙重贖金，是這種新型勒索軟件的特點，削弱了大多數(shù)公司以前可以部署的防御措施，即在攻擊者對文件加密時依舊保持強大的備份。Egregor“在幾個月前才真正出現(xiàn)，尤其是在2020年9月份，它真正開始在全世界范圍內(nèi)流行的時候，基本上就是在Maze勒索軟件運營商關(guān)閉的同一時間。”，Palo Alto Networks公司Unit 42小組的威脅情報部副主任Jen Miller-Osborn告訴CSO。

“如果你有很好的離線備份，并且你知道它們是有效的，那么當(dāng)你被勒索軟件攻擊時，就不是什么大問題，”她說。“你的商業(yè)目的可能會受到?jīng)_擊，也可能會出現(xiàn)停機，但如果你有良好的備份，你就應(yīng)該已經(jīng)在恢復(fù)計劃中納入了這一點。”

現(xiàn)在，像Egregor這樣的組織已經(jīng)“明白了這個想法。因此，他們會說，‘好吧，我們已經(jīng)竊取了你的數(shù)據(jù)，所以你必須為此向我們付費。或者我們只是打算公開發(fā)布它，這可能會毀了你的企業(yè)，或者至少損害你企業(yè)的聲譽。’這就抹殺了長久以來行之有效的備份的策略。”Miller-Osborn說。“我們在Maze身上看到了這一點，在Egregor身上也看到了這一點。”

就像Maze一樣，Egregor也被作為一種服務(wù)來進行出售，該團伙會將其出售或出租給其他人惡意使用。Maze的一些同樣的附屬公司已經(jīng)轉(zhuǎn)移到了Egregor，“所以這似乎將是繼Maze之后的下一件大事，直到有人變得聰明并提出更具創(chuàng)造性的變體為止”，Miller-Osborn說。

如何防御Egregor

當(dāng)談到如何免受Egregor雙重贖金的影響時，更強有力的保護措施會有所幫助，Miller-Osborn說。“勒索軟件通常并不是特別復(fù)雜。在大多數(shù)情況下，它并不是超級隱蔽的惡意軟件。”

很多勒索軟件感染源于網(wǎng)絡(luò)釣魚。“它仍然是最常見的感染媒介，”因此針對網(wǎng)絡(luò)釣魚的更好的保護和培訓(xùn)可能會有所幫助。“打開那些郵件時要小心;點擊那些鏈接時也要小心。這是我們經(jīng)常說的重復(fù)的話，但這是避免勒索軟件攻擊的最簡單的方法。”

Miller-Osborn表示：“在內(nèi)部，公司也可以做一些事情，將最敏感的數(shù)據(jù)保存在飛地中，不要有扁平的網(wǎng)絡(luò)，并識別出哪些是最敏感的或可能造成災(zāi)難性損失的數(shù)據(jù)。”她建議，對于最敏感的數(shù)據(jù)，組織應(yīng)該考慮增加一個額外的傳感器，比網(wǎng)絡(luò)的其他部分具有更高級別的額外安全監(jiān)控控制。“顯然，所有這些都要花錢，而且不是小事。”

任何組織的高敏感數(shù)據(jù)也可能成為企業(yè)或國家支持的間諜威脅的目標(biāo)，因此投資保護這些類型的記錄總體上會是一個好主意。“勒索軟件的行為者可能在尋找和過濾的敏感數(shù)據(jù)，也可能是出于間諜動機的威脅感興趣的數(shù)據(jù)，”Miller-Osborn說。“因此，讓這些數(shù)據(jù)得到更好的保護、更難訪問是件好事。”

通過培訓(xùn)和加強網(wǎng)絡(luò)保護，有可能阻止勒索軟件，Miller-Osborn說。“它只需要在正確的地方配置正確的安全組件。這是一種安全態(tài)勢設(shè)計。”

就Egregor與Maze小組的聯(lián)系而言，“我們并沒有確鑿的證據(jù)，但許多小事讓我們相信這就是同一批人”，Miller-Osborn說。這種情況在商業(yè)惡意軟件中并不少見，一個組織會聲稱關(guān)閉，但后來卻以更名版本的形式出現(xiàn)，而且是同一些人。“看起來他們這么做是因為太多人關(guān)注他們了。壓力太大了。有太多的執(zhí)法人員在尋找他們，”她說。“不管是出于什么原因，他們要做的就是把自己和以前的組織分開。”

不幸的是，這個以Egregor惡意軟件崛起為代表的高破壞性勒索軟件的新時代不會很快結(jié)束。“這種情況還會繼續(xù)下去。我想我們會看到更多的演員，尤其是犯罪方面的演員，開始利用這一點。因為他們已經(jīng)認識到這樣做能賺多少錢。”