باج افزار فرصت طلب Egregor تهدیدی نوظهور و فعال است


با توجه به گروه Insikt گروه Recorded Future ، که به تازگی تحقیقات مفصلی در مورد Egregor منتشر کرده است ، از آنجا که این باج افزار تازه ظهور Egregor تازه در حال ظهور است ، سازمانها را در مقیاس جهانی هدف قرار داده و مدافعان باید نسبت به این سویه جدید به خصوص خطرناک هوشیار باشند.

Egregor بخشی از خانواده باج افزار Sekhmet است که به اپراتورهای تروجان بانکی QakBot یا Qbot متصل است و احتمالاً توسط آنها استفاده می شود و با استفاده از تکنیک های پیشرفته مبهم سازی و ضد تجزیه و تحلیل ، از نظر پیچیدگی قابل توجه است.

Recorded Future اعلام کرد که قربانیان زیادی پیدا کرده است ، مشهورترین قربانیان کتابفروشی زنجیره ای ایالات متحده بارنز و نوبل است که در وب سایت “Egregor News” گروه قرار گرفته است ، که از آنها برای ارسال نام ها ، دامنه ها و به طور انتقادی داده های مخرب آن استفاده می کند. قربانیان – Egregor یکی از گروههایی است که روش زورگیری مضاعف را در پیش گرفته است.

محققان گفتند: “طبق اطلاعات موجود در Egregor News ، آنها 133 قربانی را ادعا كردند و مسئول 13٪ از موارد اخاذی باج افزار در حال حاضر شناخته شده اند ، كه فقط برای دو ماه فعالیت تعداد زیادی است.”

داده های جمع آوری شده توسط Recorded Future حاکی از آن است که Egregor اکنون دومین فشار گسترده باج افزار در گردش است ، کاملاً پشت Maze ، که حدود 26٪ از قربانیان امسال را تشکیل می دهد ، اما پیش از سایر باج افزارهای مشهور مانند REvil / Sodinokibi ، DoppelPaymer ، Clop و راگنار لاکر.

محققان گفتند: “ما معتقدیم كه اپراتورهای باج افزار و شركتهای وابسته آنها ذاتاً فرصت طلب هستند و بر صنایع خاص یا مناطق جغرافیایی تمركز ندارند ، بلكه بر اساس دسترسی ، فرصت و درآمد شركتها ، شركتها را انتخاب و پیگیری می كنند.” “این عوامل تهدید به احتمال زیاد همچنان سازمانهای بزرگتر را هدف قرار می دهند.

“این ارزیابی بر این درک استوار است که سطح حمله گسترده ذاتی شرکت های بزرگ به بازیگران تهدید فرصت بیشتری برای دستیابی می دهد. علاوه بر این ، این مشاغل منابع فراوانی را حفظ می کنند و به طور کلی دارای بیمه نامه های سایبری قوی هستند و این احتمال را دارد که تقاضای زیادی برای دیه پرداخت کنند. “

نکته قابل توجه اتصال به Trojan QakBot است ، به نظر می رسد اپراتورهای آن استفاده از باج افزار ProLock را کنار گذاشته و Egregor را با اشتیاق فراگرفته اند. این اتصال که توسط گروه IB نیز برجسته شده است ، به دلیل تکنیک های مشابه آن ، مانند استفاده از اسناد مخرب Microsoft Excel که جعل صفحات گسترده رمزگذاری شده DocuSign را برای ارائه QakBot ، می تواند به عنوان یک ارتباط منطقی دقیق ارزیابی شود.

همچنین می توان Egregor را به Maze متصل کرد ، زیرا از جمله تکنیک های دسترسی اولیه مشابه ، از جمله سو abuseاستفاده از پروتکل های دسک تاپ از راه دور (RDP) ، و آسیب پذیری ها و مواجهه های رایج (CVE) در Flash Player و Pulse VPN اعلام شده است ، اگرچه این تضمین کننده اتصال نیست .

خود باج افزار در سه مرحله اصلی وجود دارد – یک بسته بندی سطح بالا که مرحله بعدی را رمزگشایی می کند ، مرحله بعدی که با استفاده از یک کلید رمزنگاری که در زمان اجرا برای رمزگشایی محموله نهایی وارد می شود و در آخر ، خود Egregor. Recorded Future خاطرنشان كرد كه بدون كلید صحیح هنگام اجرا به باج افزار ، بار قابل رمزگشایی یا تجزیه و تحلیل نیست.

مانند بسیاری از باج افزارها ، Egregor اگر شناسه زبان پیش فرض سیستم هدف خود را ارمنی ، آذری ، بلاروسی ، گرجی ، قزاقستانی ، قرقیزی ، رومانیایی ، تاتار ، ترکمن ، اوکراینی ، ازبکی و تقریباً بدون گفتن روسی بدرستی اجرا نمی کند. .

Recorded Future گفت که اگرچه هنوز چیزهای زیادی برای یادگیری در مورد Egregor وجود دارد ، اما در حال حاضر تعدادی از اقدامات مدافعان امنیتی وجود دارد.

این موارد باید شامل نظارت بر استفاده از ابزارهای کالایی مانند Cobalt Strike یا QakBot به عنوان مکانیزم تحویل باشد. سیستم های رو به اینترنت باید به طور مناسب پیکربندی و وصله شوند تا خطر بهره برداری از CVE کاهش یابد ، و کاربران داخلی باید با توجه به خطر حملات فیشینگ ، استفاده از سایت های دانلود جعلی و هدف قرار دادن وصله های افشای عمومی ، از راهنمایی های استاندارد پیروی کنند. سیستم ها یا بهره برداری از تنظیمات غلط در چنین سیستم هایی.

محققان گفتند: “تیم پشتیبان Egregor تا به امروز چندین سازمان برجسته را هدف قرار داده است و به احتمال زیاد به این کار ادامه می دهد.” “گروهی که پشت Egregor است احتمالاً فعال خواهد بود و همچنان از تکنیک های مرتبط با بازیگران تهدید پیچیده و شکار بازی های بزرگ استفاده خواهد کرد.”

اطلاعات و اطلاعات بیشتر در مورد نحوه کار Egregor ، از جمله نمونه اسکناس باج را می توان در اینجا یافت.


منبع: tadrisriazi-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>