新出現(xiàn)的Egregor組織采用了“雙重贖金”技術(shù)來威脅損害企業(yè)的聲譽(yù)并增加了支付壓力。
Egregor是什么?
Egregor是增長最快的勒索軟件家族之一。它的名字來源于一個(gè)神秘世界,被定義為“一群人的集體能量,特別是當(dāng)他們有一個(gè)共同目標(biāo)的時(shí)候,”根據(jù)Recorded Future公司Insikt團(tuán)隊(duì)的說法。盡管安全公司對惡意軟件的描述各不相同,但一致認(rèn)為Egregor其實(shí)是Sekhmet勒索軟件家族的一個(gè)變種。
它出現(xiàn)在2020年9月,與此同時(shí),Maze勒索軟件團(tuán)伙已宣布打算關(guān)閉運(yùn)營。然而,隸屬于Maze小組的成員似乎已經(jīng)毫不猶豫地轉(zhuǎn)移到了Egregor。
Insikt以及Palo Alto Networks的Unit 42團(tuán)隊(duì)認(rèn)為,Egregor與Qakbot等商業(yè)惡意軟件以及IcedID和Ursnif等其他現(xiàn)成的惡意軟件有關(guān)。Qakbot在2007年變得非?;钴S,它使用了一種復(fù)雜的、難以破解的蠕蟲病毒。這些惡意軟件可以幫助攻擊者獲得對受害者系統(tǒng)的初始訪問權(quán)限。
所有的安全研究人員似乎都同意Cybereason的Noutchnus團(tuán)隊(duì)的觀點(diǎn),即Egregor是一種迅速出現(xiàn)的、高度嚴(yán)重的威脅。根據(jù)安全公司Digital Shadows的說法,Egregor在全球19個(gè)不同行業(yè)中至少有71名受害者。
Egregor的雙重勒索削弱了傳統(tǒng)防御
像目前大多數(shù)正在被使用的勒索軟件變種一樣,Egregor使用了“雙重勒索”,依靠一個(gè)“恥辱大廳”或泄漏頁面上可公開訪問的被盜數(shù)據(jù)來迫使受害者支付贖金。備受矚目的Egregor受害者包括了Kmart、溫哥華地鐵系統(tǒng)、Barnes和Noble、視頻游戲開發(fā)商育碧和Crytek,以及荷蘭人力資源公司Randstad,攻擊者從這些公司竊取數(shù)據(jù),并將其中的一部分發(fā)布到了網(wǎng)絡(luò)上。
像許多互聯(lián)網(wǎng)罪犯一樣,在冠狀病毒危機(jī)期間,Egregor襲擊者認(rèn)為醫(yī)療設(shè)施和醫(yī)院也應(yīng)該是一個(gè)公平的游戲。馬里蘭州的GBMC Healthcare就是一家由于Egregor勒索軟件攻擊而不得不減少一些功能的醫(yī)療服務(wù)提供商,該公司于2020年12月初受到了攻擊。該公司表示,它有著強(qiáng)有力的保護(hù)措施,但仍被迫推遲了一些選擇性的程序。
雙重勒索,或雙重贖金,是這種新型勒索軟件的特點(diǎn),削弱了大多數(shù)公司以前可以部署的防御措施,即在攻擊者對文件加密時(shí)依舊保持強(qiáng)大的備份。Egregor“在幾個(gè)月前才真正出現(xiàn),尤其是在2020年9月份,它真正開始在全世界范圍內(nèi)流行的時(shí)候,基本上就是在Maze勒索軟件運(yùn)營商關(guān)閉的同一時(shí)間。”,Palo Alto Networks公司Unit 42小組的威脅情報(bào)部副主任Jen Miller-Osborn告訴CSO。
“如果你有很好的離線備份,并且你知道它們是有效的,那么當(dāng)你被勒索軟件攻擊時(shí),就不是什么大問題,”她說。“你的商業(yè)目的可能會受到?jīng)_擊,也可能會出現(xiàn)停機(jī),但如果你有良好的備份,你就應(yīng)該已經(jīng)在恢復(fù)計(jì)劃中納入了這一點(diǎn)。”
現(xiàn)在,像Egregor這樣的組織已經(jīng)“明白了這個(gè)想法。因此,他們會說,‘好吧,我們已經(jīng)竊取了你的數(shù)據(jù),所以你必須為此向我們付費(fèi)。或者我們只是打算公開發(fā)布它,這可能會毀了你的企業(yè),或者至少損害你企業(yè)的聲譽(yù)。’這就抹殺了長久以來行之有效的備份的策略。”Miller-Osborn說。“我們在Maze身上看到了這一點(diǎn),在Egregor身上也看到了這一點(diǎn)。”
就像Maze一樣,Egregor也被作為一種服務(wù)來進(jìn)行出售,該團(tuán)伙會將其出售或出租給其他人惡意使用。Maze的一些同樣的附屬公司已經(jīng)轉(zhuǎn)移到了Egregor,“所以這似乎將是繼Maze之后的下一件大事,直到有人變得聰明并提出更具創(chuàng)造性的變體為止”,Miller-Osborn說。
如何防御Egregor
當(dāng)談到如何免受Egregor雙重贖金的影響時(shí),更強(qiáng)有力的保護(hù)措施會有所幫助,Miller-Osborn說。“勒索軟件通常并不是特別復(fù)雜。在大多數(shù)情況下,它并不是超級隱蔽的惡意軟件。”
很多勒索軟件感染源于網(wǎng)絡(luò)釣魚。“它仍然是最常見的感染媒介,”因此針對網(wǎng)絡(luò)釣魚的更好的保護(hù)和培訓(xùn)可能會有所幫助。“打開那些郵件時(shí)要小心;點(diǎn)擊那些鏈接時(shí)也要小心。這是我們經(jīng)常說的重復(fù)的話,但這是避免勒索軟件攻擊的最簡單的方法。”
Miller-Osborn表示:“在內(nèi)部,公司也可以做一些事情,將最敏感的數(shù)據(jù)保存在飛地中,不要有扁平的網(wǎng)絡(luò),并識別出哪些是最敏感的或可能造成災(zāi)難性損失的數(shù)據(jù)。”她建議,對于最敏感的數(shù)據(jù),組織應(yīng)該考慮增加一個(gè)額外的傳感器,比網(wǎng)絡(luò)的其他部分具有更高級別的額外安全監(jiān)控控制。“顯然,所有這些都要花錢,而且不是小事。”
任何組織的高敏感數(shù)據(jù)也可能成為企業(yè)或國家支持的間諜威脅的目標(biāo),因此投資保護(hù)這些類型的記錄總體上會是一個(gè)好主意。“勒索軟件的行為者可能在尋找和過濾的敏感數(shù)據(jù),也可能是出于間諜動機(jī)的威脅感興趣的數(shù)據(jù),”Miller-Osborn說。“因此,讓這些數(shù)據(jù)得到更好的保護(hù)、更難訪問是件好事。”
通過培訓(xùn)和加強(qiáng)網(wǎng)絡(luò)保護(hù),有可能阻止勒索軟件,Miller-Osborn說。“它只需要在正確的地方配置正確的安全組件。這是一種安全態(tài)勢設(shè)計(jì)。”
就Egregor與Maze小組的聯(lián)系而言,“我們并沒有確鑿的證據(jù),但許多小事讓我們相信這就是同一批人”,Miller-Osborn說。這種情況在商業(yè)惡意軟件中并不少見,一個(gè)組織會聲稱關(guān)閉,但后來卻以更名版本的形式出現(xiàn),而且是同一些人。“看起來他們這么做是因?yàn)樘嗳岁P(guān)注他們了。壓力太大了。有太多的執(zhí)法人員在尋找他們,”她說。“不管是出于什么原因,他們要做的就是把自己和以前的組織分開。”
不幸的是,這個(gè)以Egregor惡意軟件崛起為代表的高破壞性勒索軟件的新時(shí)代不會很快結(jié)束。“這種情況還會繼續(xù)下去。我想我們會看到更多的演員,尤其是犯罪方面的演員,開始利用這一點(diǎn)。因?yàn)樗麄円呀?jīng)認(rèn)識到這樣做能賺多少錢。”