Opportuniste Egregor ransomware est une menace émergente et active

Depuis qu’il a été observé pour la première fois en septembre 2020, le ransomware Egregor nouvellement émergent a ciblé sans discrimination les organisations à l’échelle mondiale et les défenseurs devraient être attentifs à cette nouvelle souche particulièrement dangereuse, selon le groupe Insikt de Recorded Future, qui vient de sortir des recherches détaillées sur Egregor.

Faisant partie de la famille Sekhmet ransomware, Egregor est connecté et probablement utilisé par les opérateurs du cheval de Troie bancaire QakBot ou Qbot, et se distingue par sa complexité, en utilisant des techniques avancées d’obscurcissement et d’anti-analyse.

Recorded Future a déclaré qu’il avait trouvé plusieurs victimes, la plus notable à ce jour étant la chaîne de librairies américaine Barnes and Noble, nommée sur le site web du groupe « Egregor News », qu’il avait l’habitude de poster les noms, domaines et, de façon critique, les données exfiltrées de ses victimes – Egregor étant l’un des nombreux groupes qui ont adopté la technique de l’extorsion double.

« Selon les informations disponibles sur Egregor News, ils ont fait 133 victimes et sont responsables de 13% de tous les cas d’extorsion ransomware actuellement connus, ce qui est un grand nombre pour seulement deux mois d’opérations », ont déclaré les chercheurs.

Les données compilées par Recorded Future suggèrent qu’Egregor est maintenant la deuxième souche ransomware la plus répandue circulant, loin derrière Maze, qui représente environ 26% des victimes cette année, mais devant d’autres ransomwares de haut niveau tels que REvil / Sodinokibi, DoppelPaymer, Clop et Ragnar Locker.

« Nous croyons que les opérateurs ransomware et leurs affiliés sont opportunistes par nature et ne se concentrent pas sur des industries spécifiques ou des régions géographiques, mais plutôt sélectionner et poursuivre les entreprises en fonction de l’accessibilité, l’opportunité et les revenus de l’entreprise », ont déclaré les chercheurs. « Ces acteurs de la menace continueront très probablement de cibler systématiquement les grandes organisations.

« Cette évaluation repose sur la compréhension que la vaste surface d’attaque inhérente aux grandes entreprises donne aux acteurs de la menace plus de chances d’y accéder. En outre, ces entreprises maintiennent une abondance de ressources, et ont généralement de solides polices d’assurance cyber, ce qui rend plus probable qu’ils paieront une demande de rançon importante.

Il convient de noter en particulier la connexion au cheval de Troie QakBot, dont les opérateurs semblent avoir abandonné leur utilisation de la ransomware ProLock et pris Egregor avec enthousiasme. Cette connexion, également mise en évidence par le Groupe IB, peut être évaluée comme raisonnablement précise en raison de ses techniques similaires, telles que l’utilisation de documents Microsoft Excel malveillants se faisant passer pour des feuilles de calcul chiffrées DocuSign pour livrer QakBot.

Il est également possible de lier Egregor à Maze en raison de techniques d’accès initiales similaires, y compris l’abus de protocoles de bureau distants (RDP), et a révélé des vulnérabilités et des expositions communes (CVEs) dans Flash Player et Pulse VPN, bien que ce ne soient pas des garanties d’une connexion.

Le ransomware lui-même vient en trois étapes principales – un emballeur de haut niveau qui décrypte l’étape suivante, une étape ultérieure qui utilise une clé cryptographique passée à l’heure d’exécution pour décrypter la charge utile finale, et enfin, Egregor lui-même. Recorded Future a noté que sans la clé correcte transmise au ransomware lorsqu’il est exécuté, la charge utile ne peut pas être décryptée ou analysée.

Comme pour de nombreux ransomwares, Egregor n’exécute pas s’il trouve que l’identité linguistique par défaut de son système cible est arménienne, azérie, biélorusse, géorgienne, kazakhe, kirghize, roumaine, tatare, turkmène, ukrainienne, ouzbèke et, il va presque sans dire, russe.

Recorded Future a déclaré que même s’il y avait encore beaucoup à apprendre sur Egregor, il ya un certain nombre de mesures que les défenseurs de la sécurité peuvent prendre maintenant.

Il devrait s’agir d’une surveillance de l’utilisation d’outils de base tels que Cobalt Strike ou QakBot comme mécanisme de livraison. Les systèmes orientés vers Internet devraient être configurés et corrigés de manière appropriée afin d’atténuer la menace d’exploitation des CVE, et les utilisateurs internes devraient suivre des directives standard s’agissant du risque d’attaques de phishing, de l’utilisation de faux sites de téléchargement et du ciblage de systèmes non patchés et publics ou de l’exploitation de fausses configurations dans ces systèmes.

« L’équipe derrière Egregor a ciblé plusieurs organisations de haut niveau à ce jour et est très susceptible de continuer à le faire », ont déclaré les chercheurs. « Le groupe derrière Egregor restera probablement actif et continuera d’utiliser des techniques associées à des acteurs sophistiqués de la menace et à la chasse au gros gibier. »

Plus de données et d’informations sur le fonctionnement d’Egregor, y compris des échantillons de notes de rançon, peuvent être trouvées ici.