数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是Egregor勒索软件?
一个被称为Egregor的网络犯罪组织专注于勒索软件运营的特定子集。在西方魔法中,一群人为了共同目标而共同努力的集体能量被称为Egregor。
据信,2020年10月停止运营后,臭名昭著的网络犯罪组织Maze的勒索软件开发者创立了Egregor。Maze勒索软件攻击尝试的广泛范围为新成立的Egregor组织提供了重要的基础。
2020年10月,Egregor成功入侵Barnes & Noble、视频游戏开发者Crytek和Ubisoft以及Barnes & Noble后,因其破坏性而声名狼藉。
Egregor只是众多受益于疫情期间人们对数字基础设施依赖性突然增加的网络威胁之一。其中一些攻击甚至明确针对医疗保健行业,这可能会对Covid-19患者造成可怕的后果。Egregor的运营模式是勒索软件即服务。
什么是勒索软件即服务 (RaaS)?
勒索软件即服务 (RaaS) 正在使用软件即服务 (SaaS)。即使是最有经验的黑客,由于犯罪同伙订阅了勒索软件,也可以发起具有破坏性和极其复杂的勒索软件攻击。
勒索软件的同伙被激励传播有害软件,因为他们每次成功的网络攻击都会获得巨额报酬,这导致勒索软件业务在短期内迅速扩展。Egregor的快速国际扩张证明了这种有效的增长方法。
什么是Egregor勒索软件?
名为Egregor勒索软件的恶意软件是Sekhmet勒索软件和Maze勒索软件的组合。所有三种勒索软件变体都共享代码,并且它们似乎都针对相同类型的受害者。
使用Egregor勒索软件的攻击以其残酷但极其成功的双重勒索策略而著称。网络犯罪组织窃取敏感数据,然后对其进行加密以阻止受害者访问。然后,作为成功窃取数据的证据,他们将部分被窃取的数据发布到暗网上。
然后,赎金信中会指示受害者在三天内支付预定的金额,以阻止犯罪网络发布更多个人信息。如果在截止日期之前支付赎金,则被盗取的数据将被完全解密。
Egregor勒索软件——它是如何运作的?
与所有勒索软件一样,Egregor变体通过加载程序进入受害者系统。为了防止静态分析和潜在的解密,此加载程序及其部署后的勒索软件都经过严格的代码混淆处理。只有用于运行Egregor有效载荷的命令行才能用于检查有效载荷。
Egregor勒索软件在成功入侵后会修改受害者的防火墙设置,以启用远程桌面协议 (RDP)。该程序会小心地浏览受害者的网络,同时秘密地查找并停用所有杀毒程序。
在禁用所有防御措施后,Egregor勒索软件会加密所有被破坏的数据,并将带有文件名“RECOVER-FILES.txt”的赎金信插入到每个被破坏的文件夹中。
为了通过暗网上特定的登录页面与威胁行为者进行沟通,受害者会被提示下载一个暗网浏览器。
如何减轻Egregor勒索软件的风险?
由于Egregor勒索软件威胁是一种新兴威胁,安全专业人员仍在努力完全了解其运作方式。安全团队迄今为止进行的分析导致了以下缓解建议。
密切关注Qakbot、Ursnif和IceID恶意软件的感染情况。已观察到Egregor勒索软件是由常见的恶意软件(如Qakbot、Ursnif和IceID)注入的。如果您在内部或供应商网络中发现这些漏洞,则需要立即响应。
告知每位员工网络钓鱼攻击的警告标志。
勒索软件通常通过网络钓鱼活动传播。它们可能会为Egregor勒索软件或其任何姊妹型有效载荷(包括称为QakBot、Uesnif和IceID的恶意软件)建立一个入口点。
确保您的每位员工都了解网络钓鱼和点击劫持攻击的警告信号。
除了POP3和IMAP之外,请将所有杀毒配置文件配置为禁止所有解码器。
关闭所有远程访问功能。
密切关注您的安全状况,以修补任何漏洞。
向所有安全规则添加病毒配置文件。
将区域保护准则应用于所有区域。
将信息安全规则应用于来自不可靠来源的所有流量。
删除所有允许“任何服务设置”流量的安全策略。
Egregor在网络犯罪领域仍然是一个相对较新的参与者。即使他们的初始攻击具有破坏性,最糟糕的情况还在后面,因为如此高技能的威胁行为者团队负责秘密行动。
246 次浏览
