Egregor 勒索軟件：誘捕公司信息并威脅以 “大眾媒體” 形式公開信息

新發現的勒索軟件正在打擊全球公司，包括GEFCO全球物流公司。

人們發現了一個新近發現的勒索軟件家族，稱為Egregor，采用了一種策略：在加密所有文件之前，先誘捕公司信息并威脅要以“大眾媒體”形式發布信息。

Egregor是一個隱秘的術語，旨在表示一組人的集體能量或力量，尤其是當這些人團結一致以實現共同的目標時（即勒索軟件幫派的一個名稱）。根據Appgate的分析，該代碼似乎是Sekhmet勒索軟件（以埃及愈合女神的名字命名）的衍生產品-其他研究人員也注意到了這一鏈接。

“我們在Sekhmet和Egregor勒索軟件中發現了相似之處，例如混淆技術，函數，API調用和字符串，例如％Greetings2target％和％sekhmet_data％更改為％egregor_data％，” Appgate的安全研究員Gustavo Palazolo告訴Threatpost。“此外，贖金記錄也相當相似。”

關于其他技術細節，根據該公司周五宣布的研究，“我們分析的樣本具有許多反分析技術，例如代碼混淆和打包的有效載荷” 。“而且，在執行階段之一中，只有在進程的命令行中提供了正確的密鑰時，才能解密Egregor有效負載，這意味著如果文件或工具的確切密碼相同，則無法手動或使用沙箱對其進行分析。沒有提供攻擊者用來運行勒索軟件的命令行。”

此外，“我們發現Egregor可以通過命令行接收其他參數，例如’nomimikatz’，’killrdp’，’norename’等，” Palazolo說。“目前，我們的團隊仍在對惡意軟件進行逆向工程以獲取整體情況。此外，我們將繼續監視該家族出現的任何可能的變體。”

他說，總體而言，它具有與其他勒索軟件系列相同的成熟度，但是Egregor實施了大量的反分析技術，例如代碼混淆和有效負載加密。

雖然Appgate的研究人員不知道Egregor發行了多長時間，但它的首次公開露面是9月18日在Twitter上進行，當時它被@ demonslay335和@PolarToffee發現

Appgate研究人員還發現，贖金通知書要求在三天內付款-否則，敏感數據將被泄露。與NetWalker等勒索軟件系列所采用的通常的雙重勒索策略不同，Egregor運營商揚言要通過“大眾媒體”分發被盜的內容，以便受害公司的合作伙伴和客戶知道該公司受到了攻擊。

與Threatpost分享的贖金記錄的這一部分內容為：“這是什么意思？這意味著大眾媒體，您的合作伙伴和客戶很快就會知道您的問題。”

到目前為止，還沒有發生大眾媒體事件。“我們擁有的唯一證據就是深入的網站，他們在其中發布有關受攻擊公司的詳細信息，但我們尚未發現任何其他新聞或信息，這些信息或信息已發布給任何媒體組織，”帕拉佐洛說。

的確，分析發現了一個自計費的“ Egregor新聞”網站，該網站托管在深層網絡中，犯罪集團用來泄漏被盜數據。

該公司表示：“在此通報之時，至少有13家不同的公司列入了他們的’恥辱表’，其中包括全球物流公司GEFCO，該公司上周遭受了網絡攻擊。”

Egregor贖金說明還說，除了在公司支付贖金的情況下解密所有文件之外，運營商還將提供有關保護公司網絡安全的建議，“幫助”他們避免再次遭到破壞，“充當某種黑手黨”。帽筆測試團隊”，根據Appgate的研究。

注釋中寫著：“（如果付款完成了……您將完全解密網絡中的計算機，下載文件的完整文件列表，從我們的服務器確認下載數據的刪除，為保護您的網絡邊界提供建議。”

Palazolo說：““安全建議”引起了我們的注意，因為這對于犯罪集團而言是不尋常的，他們試圖通過建議他們設法幫助保護您的網絡來扮演好人。”

據稱，勒索軟件的初始感染媒介尚無定論，但就其目標而言，勒索軟件似乎是機會均等的，據樣本影響法國，德國，意大利，日本，墨西哥，沙特阿拉伯和美國的公司。研究者。

至于贖金的大小，犯罪軟件操作員使受害者跳到鐵箍上。

“遺憾的是，贖金記錄中或Egregor網站上沒有有關[贖金支付金額]的詳細信息，”研究人員告訴Threatpost。“要獲取付款明細，受害人需要導航到Egregor提供的深層Web鏈接，并通過實時聊天從攻擊者那里獲取指示，而我們尚未執行該聊天。”