Το FBI προειδοποιεί ότι η hacking συμμορία του Egregor ransomware στοχεύει ενεργά και εκβιάζει επιχειρήσεις σε όλο τον κόσμο. Συγκεκριμένα, η αστυνομική υπηρεσία αναφέρει σε σχετική ειδοποίηση που κοινοποίησε στις 6 Ιανουαρίου, ότι το Egregor ισχυρίζεται πως μετρά πάνω από 150 θύματα από τον Σεπτέμβριο του 2020 που ξεκίνησε την κακόβουλη δραστηριότητά του.
Το Egregor είναι μια Ransomware-as-a-Service επιχείρηση που συνεργάζεται με άλλους κακόβουλους παράγοντες, οι οποίοι παραβιάζουν δίκτυα για να αναπτύξουν ransomware payloads. Στη συνέχεια, μοιράζουν τα κέρδη που αποκομίζουν από την πληρωμή λύτρων με τους χειριστές του Egregor, διαιρώντας τα 70/30. Μετά τη διείσδυση στα δίκτυα των θυμάτων, κλέβουν αρχεία προτού κρυπτογραφήσουν συσκευές και τα χρησιμοποιούν για να απειλήσουν τα θύματα ότι θα διαρρεύσουν τα κλεμμένα δεδομένα, εάν αυτά αρνηθούν να πληρώσουν τα απαιτούμενα λύτρα.
Σύμφωνα με το BleepingComputer, το Egregor ξεκίνησε τη δράση του την ίδια περίοδο που η συμμορία του Maze τερμάτισε τη δική της. Έτσι, πολλά μέλη του Maze ενσωματώθηκαν στην επιχείρηση του Egregor.
Το FBI επισημαίνει στην ειδοποίησή του προς τις επιχειρήσεις τα ακόλουθα: «Λόγω του μεγάλου αριθμού παραγόντων που εμπλέκονται στην ανάπτυξη του Egregor, οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) που χρησιμοποιούνται για την ανάπτυξή του μπορεί να ποικίλλουν ευρέως, δημιουργώντας έτσι σημαντικές προκλήσεις για την άμυνα και τον μετριασμό. Το Egregor ransomware χρησιμοποιεί πολλούς μηχανισμούς για να παραβιάσει εταιρικά δίκτυα, συμπεριλαμβανομένης της στόχευσης εταιρικών δικτύων και προσωπικών λογαριασμών υπαλλήλων που μοιράζονται πρόσβαση με εταιρικά δίκτυα ή συσκευές.»
Επιπλέον, τα phishing emails με κακόβουλα συνημμένα και το μη ασφαλές πρωτόκολλο απομακρυσμένου desktop (RDP) ή τα VPNs, είναι μερικοί από τους φορείς επίθεσης που χρησιμοποιούνται από τους χειριστές του Egregor για να αποκτήσουν πρόσβαση και να κινηθούν πλευρικά στα δίκτυα των θυμάτων τους. Το Egregor χρησιμοποιεί, ακόμη, το Cobalt Strike, το Qakbot / Qbot, το Advanced IP Scanner και το AdFind, για κλιμάκωση προνομίων και πλευρική κίνηση στα δίκτυα των στόχων του. Οι συνεργάτες της συμμορίας χρησιμοποιούν επίσης το 7zip και το Rclone, μερικές φορές καμουφλαρισμένο ως διαδικασία dιαδικτυακής υπηρεσίας εξυπηρέτησης (svchost), για την απομάκρυνση δεδομένων, προτού αναπτύξουν ransomware payloads στα δίκτυα των υποψήφιων θυμάτων.
Το FBI κοινοποίησε επίσης μια λίστα προτεινόμενων μέτρων που θα βοηθήσουν τις επιχειρήσεις να ενισχύσουν την άμυνά τους ενάντια στις επιθέσεις του Egregor:
- Δημιουργήστε αντίγραφα ασφαλείας κρίσιμων δεδομένων offline.
- Βεβαιωθείτε ότι τα αντίγραφα κρίσιμων δεδομένων βρίσκονται στο cloud ή σε εξωτερικό σκληρό δίσκο ή συσκευή αποθήκευσης.
- Ασφαλίστε τα αντίγραφα ασφαλείας σας και βεβαιωθείτε ότι τα δεδομένα δεν είναι προσβάσιμα για τροποποίηση ή διαγραφή από το σύστημα όπου βρίσκονται.
- Εγκαταστήστε και ενημερώστε τακτικά software προστασίας από ιούς ή από malware σε όλους τους κεντρικούς υπολογιστές.
- Χρησιμοποιήστε μόνο ασφαλή δίκτυα και αποφύγετε τη χρήση δημόσιων δικτύων Wi-Fi.
- Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA) και μην κάνετε κλικ σε ανεπιθύμητα συνημμένα ή συνδέσμους που εμπεριέχονται σε emails.
- Δώστε προτεραιότητα στην επιδιόρθωση προϊόντων και εφαρμογών απομακρυσμένης πρόσβασης, συμπεριλαμβανομένων των πρόσφατων τρωτών σημείων RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
- Ελέγξτε ύποπτα αρχεία .bat και .dll, αρχεία με δεδομένα αναγνώρισης (όπως αρχεία .log) και εργαλεία εξαγωγής.
- Διαμορφώστε με ασφάλεια το RDP περιορίζοντας την πρόσβαση, με την χρήση ελέγχου ταυτότητας πολλών παραγόντων (MFA) ή ισχυρών κωδικών πρόσβασης.
Από τον Σεπτέμβριο του 2020, οι συνεργάτες του Egregor έχουν παραβιάσει και κρυπτογραφήσει τα συστήματα πολλών εταιριών υψηλού προφίλ, συμπεριλαμβανομένων των Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek και TransLink του Βανκούβερ.
Επίσης, συνιστάται στα θύματα να μην πληρώνουν λύτρα, καθώς δεν μπορούν να εξασφαλίσουν την επιτυχή αποκατάσταση των κρυπτογραφημένων δεδομένων, αλλά κι επειδή έτσι χρηματοδοτούν μελλοντικές επιχειρήσεις των χάκερς, ενθαρρύνοντάς τους να συνεχίσουν τις επιθέσεις τους. Το FBI παροτρύνει επίσης τα θύματα να αναφέρουν τυχόν ransomware περιστατικά, για να βοηθήσουν τους ερευνητές να εντοπίσουν τους παράγοντες απειλής που βρίσκονται πίσω από αυτά και να αποτρέψουν τυχόν μελλοντικές επιθέσεις.
