Ερευνητές ασφαλείας από την Appgate προειδοποιούν για ένα ransomware, που αποκαλύφθηκε πρόσφατα και ονομάζεται Egregor. Το ransomware έχει μολύνει περίπου δώδεκα οργανισμούς σε όλο τον κόσμο, κατά τους τελευταίους μήνες.
Οι χειριστές του Egregor ransomware ακολουθούν τη νέα τάση στις ransomware επιθέσεις και απειλούν να διαρρεύσουν τα δεδομένα των θυμάτων τους, εάν δεν πληρώσουν τα λύτρα εντός τριών ημερών. Αυτή η τάση ξεκίνησε από τους hackers του Maze και ακολούθησαν πολλές άλλες ομάδες.
Οι εγκληματίες πίσω από το Egregor ransomware έχουν δημιουργήσει ένα site “ειδήσεων” στο darknet και προσφέρουν μια λίστα με τα θύματα, καθώς και ενημερώσεις σχετικά με το πότε θα διαρρεύσουν τα κλεμμένα δεδομένα.
Στο σημείωμα για τα λύτρα, λέγεται ότι αν το θύμα πληρώσει, οι hackers θα δώσουν το κλειδί αποκρυπτογράφησης και θα προσφέρουν κάποιες συμβουλές ασφαλείας ώστε να προστατευτεί η εταιρεία από μελλοντικές επιθέσεις. Σύμφωνα με τους ερευνητές, με αυτόν τον τρόπο, οι επιτιθέμενοι λειτουργούν σε ένα βαθμό ως “black hat pentest team”.
Προς το παρόν, δεν γνωρίζουμε πόσα χρήματα ζητούν οι hackers του Egregor ransomware ούτε αν έχουν ήδη διαρρεύσει δεδομένα των θυμάτων. Αντίγραφο ενός σημειώματος δείχνει ότι οι εγκληματίες σκοπεύουν να διαρρεύσουν τα κλεμμένα δεδομένα μέσω των “media”.
Το Egregor ransomware εντοπίστηκε για πρώτη φορά στα μέσα Σεπτεμβρίου από αρκετούς ερευνητές ασφαλείας, όπως ο Michael Gillespie, ο οποίος δημοσίευσε δείγμα του σημειώματος των hackers στο Twitter.
Οι ερευνητές της Appgate ανέλυσαν το ransomware την προηγούμενη εβδομάδα και δεν γνωρίζoυν πολλές λεπτομέρειες σχετικά με την έναρξη των επιθέσεων. Ωστόσο, η πρώτη εμφάνιση του Egregor στο Twitter ήταν στις 18 Σεπτεμβρίου, από τους @ demonslay335 και @PolarToffee.
Αποφυγή ανίχνευσης
Σύμφωνα με την Appgate, το Egregor ransomware φαίνεται να προέρχεται από ένα άλλο ransomware που ονομάζεται Sekhmet, το οποίο επίσης εκθέτει δεδομένα των θυμάτων.
Κατά την ανάλυση του Egregor, οι ερευνητές ανακάλυψαν ότι το ransomware χρησιμοποιεί τεχνικές για την αποφυγή της ανίχνευσης (code obfuscation, packed payloads) από προϊόντα ασφαλείας.
Οι αναλυτές της Appgate σημείωσαν επίσης ότι χωρίς το σωστό κλειδί αποκρυπτογράφησης, είναι δύσκολο να αναλυθεί το πλήρες ransomware payload, ώστε να αποκαλυφθούν λεπτομέρειες σχετικά με τον τρόπο λειτουργίας του.
Egregor ransomware: Απειλές για διαρροή κλεμμένων δεδομένων
Όπως είπαμε παραπάνω, δεν έχει γίνει γνωστή ακόμα κάποια διαρροή που να σχετίζεται με το Egregοr, αλλά όπως και οι περισσότερες ransomware συμμορίες, έτσι κι αυτή χρησιμοποιεί αυτή την τεχνική για να πιέσει τα θύματα.