Egregor ransomware leírás

Felfedezés dátuma

2020.11.02.

Súlyosság

Közepes

Összefoglaló

A Sekhmet kártevő családba tartozó Egregor egy friss ransomware, amelyről nyilvánosan először 2020. szeptember 18-án, egy Twitteren közzétett bejegyzésben esik szó. A ransomware-t terjesztő kiberbűnözők elsődleges célja az adatlopás, a fájlok titkosítása csak ezután kerül végrehajtásra.

Leírás

Az Egregor ransomware-ről az első elemzés 2020 októberében készült az Appgate Labs által. Ennek során a cég szakemberei több hasonlóságot is felfedeztek a Sekhmet ransomware családtagjaival, mint például a káros kód elrejtésére szolgáló technikák vagy az alkalmazott különböző API hívások és sztringek. A kód elemzését ugyanakkor lényegesen megnehezíti, hogy egyes kódrészletek csak akkor dekódolhatóak, ha az adott folyamat parancssorában szerepel a megfelelő kulcs, azaz a fájl nem elemezhető, ha a támadók által használt, teljesen megegyező parancssor nem biztosított. A vizsgálat során mindazonáltal fény derült az Egregor azon képességére, amely szerint parancssoron keresztül további, kiegészítő utasítások fogadására is képes, pl.: ‘nomimikatz,’ ‘killrdp,’ ‘norename’.

Az Egregor ransomware támadások kapcsán jelenleg nincs adat a kiindulási vektor tekintetében.

Az Egregor ransomware terjesztését végző kiberbűnözők elsődleges célja az érzékeny adatokhoz való hozzáférés, illetve azok exportálása, a tényleges titkosítás csak ezután történik meg. Az egyes titkosított fájlok kiterjesztése egy véletlenszerűen kiválasztott karaktersorral bővül (“1.jpg” helyett “1.jpg.JhWeA“).

Az eddigi támadások során a fenyegetés szerint a váltságdíj kifizetésére 3 nap áll rendelkezésre, nem fizetés esetén pedig megkezdődik a publikus adatszivárogtatás. Az Appgate elemzésének elkészítéséig ilyen jellegű adatszivárogtatás nem történt, azonban valóban létrehozásra került egy dedikált weboldal a darkweben, ahol már 13 különböző vállalat  (Pl.: GEFCO, Barnes&Noble, Ubisoft, Crytek) szerepel az áldozatként.

A zsaroló üzenet (ransomnote) szerint (lásd: 1. ábra) a támadók a váltságdíjat kifizetőknek felajánlják a segítségüket az adott vállalat kiberbiztonságának fejlesztésében, a hasonló támadások megelőzése érdekében.

1. ábra: Egregor zsaroló üzenet

A váltságdíj összege nem jelenik meg a ransomnote-ban, annak megismerésére csak a kapcsolatfelvétel céljából egy külön weboldalon keresztül biztosított chaten van lehetőség. Ennek oka elsősorban az lehet, hogy a váltságdíj összege minden esetben más, azonban az eddigi ismert esetek alapján meghaladhatja az egymillió USD-t is.

Jelenleg nem áll rendelkezésre olyan eszköz, amellyel feloldhatóvá válna a titkosítás.

Megoldás

Javaslatok

  • Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
  • Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
  • Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg. Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a Virustotal oldalra feltöltve.
  • Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál.
  • A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.

Támadás típusa

Ransomware

Hivatkozások

Egyéb referencia: www.appgate.com
Egyéb referencia: www.darkreading.com
Egyéb referencia: cyware.com
Egyéb referencia: www.bankinfosecurity.com
Egyéb referencia: threatpost.com
Egyéb referencia: www.pcrisk.com
Egyéb referencia: exchange.xforce.ibmcloud.com
Egyéb referencia: www.virustotal.com

Indikátorok

Ransomnote: RECOVER-FILES.txt

MD5: 4c36c3533a283e1aa199f80e20d264b9

SHA-1: f73e31d11f462f522a883c8f8f06d44f8d3e2f01

SHA-256: aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »