Le ransomware Egregor
En septembre dernier, un nouveau ransomware est apparu au moment où le gang de ransomware Maze a commencé à fermer ses opérations. Nommé Egregor, le ransomware exploite les données volées pendant une attaque pour extorquer la victime contre paiement.
La note de rançon d'Egregor dit à ses victimes: "Bientôt, les médias de masse, vos partenaires et clients SAURONT votre PROBLÈME… Si vous ne nous contactez pas dans les 3 prochains JOURS, nous commencerons la publication de DONNÉES".
Comme Maze, Egregor utilise les algorithmes de chiffrement ChaCha et RSA pour chiffrer les fichiers des victimes. Tout comme Maze, Egregor est soupçonné d’être une opération ransomware-as-a-service, dépendant des affiliés qui reçoivent un paiement pour avoir déposé le malware sur les réseaux des victimes.
Mais le code d’Egregor n’est pas un dérivé du malware utilisé par Maze, il s'agit plutôt d'une variante d'une famille de ransomwares connue sous le nom de Sekhmet. Les opérateurs de Sekhmet ont commencé à publier les données des victimes en mars 2020, mais leur site Web «Sekhmet Leaks» n'est plus accessible, et seules six victimes ont été exposées publiquement avant la fermeture du site - ce qui a coïncidé avec le lancement du site Egregor. On ne sait pas si les créateurs d’Egregor et de Sekhmet sont les mêmes, mais le ransomware d’Egregor est clairement dérivé du malware Sekhmet.
Egregor a été détecté pour la première fois en septembre lors d'une attaque contre une victime. Au 25 novembre, Sekhmet Leaks avait publié des détails sur plus de 130 victimes sur son site Web Tor hidden services (.onion). Les victimes présumées de ces attaques sont diverses, à la fois en termes d'emplacement et de type d'organisation - elles comprennent des écoles, des fabricants, des organisations de logistique, des institutions financières et des entreprises technologiques. Le gang Egregor a spécifiquement appelé deux sociétés de jeux - Crytek et Ubisoft - dans un «communiqué de presse» en octobre.
Des tactiques courantes, des mesures courantes
L'utilisation de spam spécialement conçus avec des pièces jointes malveillantes, des logiciels malveillants et des outils d'exploitation, ainsi que l'exfiltration de données à des fins d'extorsion sont devenues des tactiques courantes alors que les développeurs de ransomwares. Ces menaces nécessitent une défense en profondeur pour empêcher le vol et le chiffrement des données, y compris la formation des employés sur les tactiques qui pourraient les inciter à exécuter le malware qui permet aux attaquants de ransomware de prendre pied sur le réseau.
Étant donné que le groupe derrière Egregor prétend vendre des données volées si les rançons ne sont pas payées, il ne suffit pas de disposer de bonnes sauvegardes des données organisationnelles pour atténuer les ransomwares. Les organisations doivent supposer que leurs données ont été violées si elles subissent une attaque Egregor (ou tout autre ransomware). Le blocage des routes d'exfiltration courantes pour les données (par exemple, la prévention des connexions Tor) peut rendre le vol de données plus difficile, mais la meilleure défense est de refuser l'accès des attaquants par le biais de logiciels malveillants de pièces jointes aux e-mails et d'autres points d'entrée courants.
La protection contre les logiciels malveillants dans toute l'organisation peut aider à prévenir les attaques de logiciels malveillants de base telles que Qbot, et la propagation latérale via des outils tels que Cobalt Strike.
Pour réduire le risque d’attaque par rançongiciels, et notamment par Egregor :
- sauvegarder les données régulièrement, déplacer physiquement la sauvegarde de votre réseau et la placer en
- lieu sûr tout en s’assurant qu’elle fonctionne;
- être en mesure de détecter et bloquer l’utilisation de Cobalt Strike sur le réseau;
- être particulièrement vigilant sur les connections RDP ainsi que sur l’utilisation de BITS, wmic et PowerShell
- sur le réseau;
- maintenir à jour les logiciels et systèmes. Une attention particulière doit être portée aux solutions VPN et à
- leurs mises à jour afin de permettre l’accès à distance de vos employés;
- Si possible, désactivez les macros des solutions de bureautique qui permettent d’effectuer des tâches de manière automatisée. Cette règle évitera la propagation des rançongiciels via les vulnérabilités des applications;
- chiffrer les documents sensibles sur votre réseau afin de prévenir une éventuelle divulgation de ces documents;
- utiliser et maintenir à jour les logiciels antivirus;
- cloisonner le système d’information;
- limiter les droits des utilisateurs et autorisations des applications;
- si possible, ne pas exposer les services de bureau à distance (comme le RDP) sur des réseaux publics et utiliser
- des mots de passe complexes sur ces services;
- maîtriser les accès Internet;
- mettre en œuvre une supervision des journaux;
- sensibiliser les collaborateurs;
- mettre en œuvre un plan de réponse aux cyberattaques;
- penser sa stratégie de communication de crise cyber
La Rédaction d'Africa Cybersecurity Mag