什么是egregor?
Egregor Ransomware是一个相对较新的赎金软件(第一次在2020年9月发现),似乎目的是现在进入右上角。egregor被认为是一个变种ransom.sekhmet.基于混淆、api调用和赎金通知的相似性。
正如我们过去报道过的,使用迷宫勒索软件的分支机构甚至在麦子帮正式宣布要退出了.Egregor已经瞄准了一些知名的受害者,如Barnes & Noble, Kmart和育碧。
埃格里高尔是如何传播的?
eGregor的主要分配方法是钴击球。目标环境最初通过各种方式损害(RDP探测,网络钓鱼)一旦钴罢工信标有效载荷建立并持久,然后使用它来提供并启动eGregor有效载荷。
但由于Egregor是一个有多个分支机构的勒索软件即服务(RaaS)行动,其交付和武器化策略可能有所不同。我们最近也看到它通过网络钓鱼邮件传播。这种攻击通常分为两个步骤:用掉落的电子邮件诱饵进行初始妥协Qakbot,后跟实际的eGregor勒索持股器。后者由初始妥协的攻击者手动部署。
也有一些关于埃格里格利用的报道cve - 2020 - 0688(Microsoft Exchange中的远程代码执行漏洞)。有些来源还报告了可能的开发cve - 2018 - 8174(VBScript引擎),CVE2018 - 4878(Adobe Flash Player),以及cve - 2018 - 15982(Adobe Flash Player)。
最常见的攻击方法似乎需要一个最初的喷雾和祈祷战术,之后威胁行动者选择可用的开口。很明显,他们会根据第一阶段的主要侦察数据,选择最简单、最有利可图的路线。然后,他们将试图扩大他们在被入侵网络上的立足点,并寻找对受害者最关键的数据和服务器。这将给袭击者提供额外的筹码和更大的机会兑现他们的赎金要求。
即使SEKHMET似乎在过去的7周内似乎专注于美国,eGregor似乎并不符合地理偏好。
egregor威胁要泄漏灭绝的数据
According to the ransom note, if the ransom is not paid by the company within 3 days, and aside from leaking part of the stolen data, the attackers will announce the breach through mass media so the company’s partners and clients will know that the company was victimized.
在我们前面提到的所有三个案例中,攻击者发布了关于泄漏站点的信息,显示他们在攻击期间访问了文件,但不一定揭示源代码或任何特别敏感的东西。
通过实践专家的教育
eGregor勒索软件的一个非常典型的特征是攻击者提供教育受害者,以帮助他们逃避未来的攻击。
对于那些支付赎金作为额外奖励的受害者,公司承诺提供网络安全建议。在写这篇文章的时候,我们还不知道这些建议是什么样的。对于受害者是如何被感染,如何被渗透,以及数据是如何被窃取的,一个真实的解释肯定会对这起事件的法医调查有所帮助。
Egregor受害者任仕达
最近的受害者之一似乎是总部位于荷兰的任仕达,世界上最大的招聘和猎头机构之一。在其新闻稿,Randstad专门调用egregor作为攻击者。
任仕达发言人在一封电子邮件中表示:“我们认为这起事件是由一封钓鱼邮件引起的,该邮件引发了恶意软件的安装。”
新闻稿确认了被盗数据但尚不清楚的确切内容。
“迄今为止,我们的调查透露,eGreegor集团未经授权和非法访问我们的全球IT环境以及某些数据,特别是与我们在美国,波兰,意大利和法国的业务有关。他们现在发布了据称是该数据的子集。“
根据盗窃数据,并赋予业务行业,内容可能非常敏感和机密。据兰斯塔德介绍,该公司能够限制影响,偷窃数据尤其与他们在美国,波兰,意大利和法国的业务有关。
第三方网络安全和法医专家被委托协助调查和补救该事件。
国际石油公司
Tor洋葱网址:
- egregorwiki.top.
- wikiegregor.top
- sekhmet.top
- sekhmetleaks.top
SHA256哈希:
- 4 c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321
- aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7
赎金注意:
recover-files.txt(在文章中可以看到ransom note的某些部分)
评论