Pesquisa de site

O que é Egregor Ransomware? Uma das piores ameaças de 2020

Desde que entrou na arena cibercriminosa em setembro de 2020, o grupo Egregor penetrou em mais de 71 empresas em todo o mundo, incluindo a gigante de recrutamento Randstad e a varejista americana Kmart.

Mas quem é o grupo Egregor e como eles conseguiram se tornar uma ameaça cibernética significativa em apenas alguns meses?

Quem é Egrégora?

Egregor é um grupo cibercriminoso especializado em um ramo exclusivo de ataques de ransomware. Egregor é um termo em Magia Ocidental que se refere à energia coletiva de um grupo de pessoas unidas com um propósito comum.

especula-se que os operadores de ransomware do notório grupo de crimes cibernéticos Maze formaram a Egregor após encerrar suas operações em outubro de 2020.

Os esforços de ataque de ransomware do Maze foram de longo alcance, fornecendo ao recém-formado grupo Egregor uma plataforma proeminente para o trampolim.

Alcance global de infecções por ransomware Maze - fonte: mcafee.com

Egregor ganhou sua reputação destrutiva depois que o grupo violou com sucesso a Barnes & Noble e os desenvolvedores de videogames Crytek e Ubisoft em outubro de 2020.

No ataque cibernético da Barnes & Noble, Egregor alegou ter acessado informações financeiras e de auditoria. Em um e-mail interno para seus clientes, a Barnes & Noble afirmou que os dados financeiros dos clientes não foram roubados. O ataque também causou interrupções temporárias nos e-readers Nook da Barnes & Noble.

Nos ataques cibernéticos da Crytek e da Ubisoft, a gangue de ransomware alegou ter exfiltrado os códigos-fonte dos próximos lançamentos, incluindo Watchdogs: Legion e Arena of Fate. A Egregor publicou um subconjunto dos dados roubados em seu site na dark web, mas a legitimidade da violação do código-fonte foi inconclusiva.

A egrégora é uma das muitas ameaças cibernéticas que se aproveitaram da súbita dependência em massa de infraestruturas digitais provocada pela pandemia. Algumas dessas ameaças visam especificamente o setor de saúde, o que pode ter consequências devastadoras para os pacientes com Covid-19.

O Egregor opera em um modelo de ransomware como serviço.

O que é Ransomware as a Service (Raas)?

Ransomware como serviço (RaaS) é uma adoção do modelo de software como serviço (SaaS). modelo. Os afiliados criminosos assinam o software de ransomware, capacitando até mesmo os hackers mais novos a lançar ataques de ransomware devastadores e altamente complexos.

Como os afiliados de ransomware recebem dividendos prodigiosos por cada ataque cibernético bem-sucedido, eles são motivados a espalhar o software malicioso, dimensionando rapidamente a operação de ransomware em um curto período de tempo. A rápida expansão global da Egregor é uma evidência dessa estratégia de crescimento bem-sucedida.

O que é Egregor Ransomware?

Egregor ransomware é uma forma de malware que é uma modificação do Sekhmet ransomware e do Maze ransomware. Existem semelhanças de código em todas as três variantes de ransomware, todas elas também parecem ter como alvo o mesmo grupo demográfico de vítimas.

Demografia da vítima de ransomware Egregor e setores-alvo - Fonte: bleepingcomputer.com

Os ataques de ransomware Egregor são caracterizados por suas táticas brutais, mas altamente eficazes, de dupla extorsão. O grupo de crimes cibernéticos viola dados confidenciais, criptografando-os para que não possam ser acessados pela vítima. Em seguida, eles publicam um subconjunto dos dados comprometidos na dark web como prova da exfiltração bem-sucedida.

A vítima é então instruída em uma nota de resgate a pagar um preço definido dentro de 3 dias para evitar que mais dados pessoais sejam publicados na rede infestada de criminosos. Se o preço do resgate for pago antes do ultimato, ocorre a descriptografia completa dos dados apreendidos.

Nota de resgate do Egregor - fonte: bleepingcomputer.com

Como funciona o Egregor Ransomware?

O ransomware Egregor, como todos os ransomwares, é injetado na vítima por meio de um carregador. Este carregador e o ransomware instalado posteriormente passam por uma extensa ofuscação de código para mitigar a análise estática e a possibilidade de descriptografia. A carga útil do Egregor só pode ser analisada inserindo a mesma linha de comando usada para executar a carga.

Após uma violação bem-sucedida, o ransomware Egregor manipula as configurações de firewall da vítima para ativar o Remote Desktop Protocol (RDP). O software se move meticulosamente por toda a rede da vítima, identificando e desativando clandestinamente todos os softwares antivírus.

Com todas as defesas desarmadas, o ransomware Egregor criptografa todos os dados violados e insere uma nota de resgate intitulada "RECOVER-FILES.txt" em todas as pastas comprometidas.

As vítimas são instruídas a baixar um navegador da dark web para se comunicar com os agentes da ameaça por meio de uma página de destino dedicada na dark web.

Página inicial de comunicação com a vítima de egrégora na dark web

Mitigação de ameaças do Egregor Ransomware

Como o ransomware Egregor é uma nova ameaça, os especialistas em segurança cibernética ainda estão no processo de entender exatamente como a ameaça opera. As sugestões de mitigação a seguir foram obtidas a partir da análise das equipes de segurança até o momento.

  • Monitore infecções por malware Qakbot, Ursnif e IceIDObservou-se que malwares comuns, como Qakbot, Ursnif e IceID, injetam o ransomware Egregor como uma carga útil secundária.
    Se você identificar essas ameaças internamente ou na rede do fornecedor, a correção imediata será fundamental.
  • Eduque todos os funcionários sobre os sinais de ataques de phishing.
    Os ataques de phishing são um vetor de ataque comum para injetar ransomware. Eles podem criar um gateway para o ransomware Egregor ou qualquer uma de suas cargas irmãs - malware QakBot, Uesnif e IceID.
    Você deve garantir que sua equipe esteja ciente de todos os sinais de um ataque de phishing e um ataque de clickjacking.
  • Defina todos os perfis antivírus para bloquear todos os decodificadores, além de POP3 e IMAP.
  • Desativar todos os recursos de acesso remoto
  • Monitore continuamente sua postura de segurança para fortalecer todas as vulnerabilidades.
  • Acrescentar um perfil antivírus a todas as políticas de segurança
  • Implementar políticas de proteção de zona para todas as zonas
  • Implemente políticas de segurança da informação para todo o tráfego de fontes não confiáveis.
  • Todas as políticas de segurança que permitem o tráfego que contém "Configuração de serviço de ANY" devem ser removidas

Sua empresa corre o risco de um ataque do ransomware Egregor?

Egregor ainda é apenas um novo jogador na arena do crime cibernético. Seus ataques iniciais já são devastadores e, com um grupo tão sofisticado de agentes de ameaças executando a operação escura, o pior ainda está por vir.

>

Na UpGuard, podemos ajudá-lo a fortalecer sua postura de segurança para se defender efetivamente contra ataques de ransomware. Nossa tecnologia patenteada de segurança cibernética também monitora continuamente vulnerabilidades em toda a rede do fornecedor para evitar ataques cibernéticos de terceiros comprometidos.

Continue aprendendo sobre ameaças cibernéticas

  • Como você é infectado por ransomware?
  • O que é Business Email Compromise (BEC)?
  • Práticas recomendadas para evitar ataques de ransomware
  • O que é Inteligência de Ameaças Cibernéticas?
  • O que é quantificação de risco cibernético?
  • O que você precisa saber sobre a vulnerabilidade do Apache Log4j
  • O que é inteligência de ameaças?
  • O que é modelagem de ameaças?
  • O que é Netwalker Ransomware?
  • O que é uma ameaça cibernética?
  • O que é resiliência cibernética?
  • O que é uma ameaça interna?
  • O que é malware?
  • Quais são os dez melhores do OWASP?
  • Tipos comuns de malware e como reconhecê-los

Artigos relacionados