Egregor - новая угроза 2020 года

С момента появления в сентябре 2020 года, группа хакеров Egregor проникла в более чем 71 бизнес по всему миру, включая рекрутингового гиганта Randstad и американскую розничную сеть Kmart.

Но кто такие Egregor и как им удалось стать серьезной киберугрозой всего за несколько месяцев?

Кто такие Egregor?

Egregor - это группа хакеров, специализирующаяся на программах-вымогателях. Эгрегор - термин в европейской мифологии, обозначающий коллективную энергию группы людей, объединенных общей целью.

Предполагается, что участники известной группы Maze сформировали Egregor после прекращения своей деятельности в октябре 2020 года.

Усилия Maze предоставили Egregor видную поляну для работы.

Egregor заработали репутацию после того, как в октябре 2020 года группа успешно взломала Barnes & Noble и разработчиков видеоигр Crytek и Ubisoft.

Во время кибератаки Barnes & Noble, хакеры заявили, что получили доступ к финансовой и аудиторской информации. Во внутреннем электронном письме своим клиентам Barnes & Noble заявила, что финансовые данные клиентов не были украдены. Атака также вызвала временное отключение электронных книг Barnes & Noble.

В ходе кибератак на Crytek и Ubisoft, хакеры заявили, что вытащили исходные коды будущих релизов, включая Watchdogs: Legion и Arena of Fate. Egregor опубликовали часть украденных данных на своем сайте в даркнете.

Egregor - одни из многих воспользовавшихся внезапной массовой зависимостью от цифровых инфраструктур, вызванной пандемией.

Egregor использует программу-вымогатель как услугу.

Программа-вымогатель как услуга?

Программа-вымогатель как услуга - подобие модели "софт как услуга". Преступные организации подписываются на программы-вымогатели, позволяя даже начинающим хакерам проводить разрушительные и очень сложные атаки.

Поскольку участники атак получают огромные дивиденды за каждую успешную кибератаку, они заинтересованы в распространении вредоносного программного обеспечения, быстро масштабируя операции вымогателей за короткий период времени. Быстрое глобальное расширение Egregor является свидетельством этой успешной стратегии роста.

Программа-вымогатель Egregor.

Программа-вымогатель Egregor - это разновидность вредоносного ПО, которое является модификацией программ-вымогателей Sekhmet и Maze. У всех трех вариантов программ-вымогателей есть сходства кода, и все они, похоже, нацелены на одну и ту же группу жертв.

Атаки Egregor характеризуются своей жестокой, но очень эффективной тактикой "двойного вымогательства". Группа хакеров взламывает конфиденциальные данные, шифруя их, чтобы жертва не могла получить к ним доступ. Затем они публикуют часть украденных данных в даркнете в качестве доказательства успешной кражи данных.

Затем жертва получает указание заплатить установленную цену в течение 3 дней, чтобы предотвратить дальнейшую публикацию личных данных в зараженной сети. Если выкуп уплачен вовремя, происходит полная расшифровка изъятых данных.

Как работает Egregor?

Egregor, как и все программы-вымогатели, внедряется через загрузчик. Этот загрузчик и установленная впоследствии программа-вымогатель подвергаются обширной обфускации кода, чтобы уменьшить статический анализ и возможность дешифрования. Полезная нагрузка Egregor может быть проанализирована только путем ввода той же командной строки, которая используется для запуска полезной нагрузки.

После успешного взлома Egregor манипулирует настройками брандмауэра жертвы, чтобы включить протокол удаленного рабочего стола. Программное обеспечение тщательно перемещается по сети жертвы, тайно идентифицируя и отключая все антивирусные программы.

Когда все средства защиты отключены, Egregor шифрует все взломанные данные и вставляет файл о выкупе под названием «RECOVER-FILES.txt» во все скомпрометированные папки.

Жертвам предлагается установить ТОР для связи с злоумышленниками через специальную страницу в даркнете.

Подписывайся на канал Codeby, дальше только интереснее!