Összefoglaló
A Sekhmet kártevő családba tartozó Egregor egy friss ransomware, amelyről nyilvánosan először 2020. szeptember 18-án, egy Twitteren közzétett bejegyzésben esik szó. A ransomware-t terjesztő kiberbűnözők elsődleges célja az adatlopás, a fájlok titkosítása csak ezután kerül végrehajtásra.
Leírás
Az Egregor ransomware-ről az első elemzés 2020 októberében készült az Appgate Labs által. Ennek során a cég szakemberei több hasonlóságot is felfedeztek a Sekhmet ransomware családtagjaival, mint például a káros kód elrejtésére szolgáló technikák vagy az alkalmazott különböző API hívások és sztringek. A kód elemzését ugyanakkor lényegesen megnehezíti, hogy egyes kódrészletek csak akkor dekódolhatóak, ha az adott folyamat parancssorában szerepel a megfelelő kulcs, azaz a fájl nem elemezhető, ha a támadók által használt, teljesen megegyező parancssor nem biztosított. A vizsgálat során mindazonáltal fény derült az Egregor azon képességére, amely szerint parancssoron keresztül további, kiegészítő utasítások fogadására is képes, pl.: ‘nomimikatz,’ ‘killrdp,’ ‘norename’.
| Az Egregor ransomware támadások kapcsán jelenleg nincs adat a kiindulási vektor tekintetében. |
Az Egregor ransomware terjesztését végző kiberbűnözők elsődleges célja az érzékeny adatokhoz való hozzáférés, illetve azok exportálása, a tényleges titkosítás csak ezután történik meg. Az egyes titkosított fájlok kiterjesztése egy véletlenszerűen kiválasztott karaktersorral bővül („1.jpg” helyett „1.jpg.JhWeA„).
Az eddigi támadások során a fenyegetés szerint a váltságdíj kifizetésére 3 nap áll rendelkezésre, nem fizetés esetén pedig megkezdődik a publikus adatszivárogtatás. Az Appgate elemzésének elkészítéséig ilyen jellegű adatszivárogtatás nem történt, azonban valóban létrehozásra került egy dedikált weboldal a darkweben, ahol már 13 különböző vállalat (Pl.: GEFCO, Barnes&Noble, Ubisoft, Crytek) szerepel az áldozatként.
A zsaroló üzenet (ransomnote) szerint (lásd: 1. ábra) a támadók a váltságdíjat kifizetőknek felajánlják a segítségüket az adott vállalat kiberbiztonságának fejlesztésében, a hasonló támadások megelőzése érdekében.
A váltságdíj összege nem jelenik meg a ransomnote-ban, annak megismerésére csak a kapcsolatfelvétel céljából egy külön weboldalon keresztül biztosított chaten van lehetőség. Ennek oka elsősorban az lehet, hogy a váltságdíj összege minden esetben más, azonban az eddigi ismert esetek alapján meghaladhatja az egymillió USD-t is.
Jelenleg nem áll rendelkezésre olyan eszköz, amellyel feloldhatóvá válna a titkosítás.
Megoldás
Javaslatok
- Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
- Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
- Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
- Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg. Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a Virustotal oldalra feltöltve.
- Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál.
- A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.
Támadás típusa
RansomwareHivatkozások
Egyéb referencia: www.appgate.com
Egyéb referencia: www.darkreading.com
Egyéb referencia: cyware.com
Egyéb referencia: www.bankinfosecurity.com
Egyéb referencia: threatpost.com
Egyéb referencia: www.pcrisk.com
Egyéb referencia: exchange.xforce.ibmcloud.com
Egyéb referencia: www.virustotal.com
Indikátorok
Ransomnote: RECOVER-FILES.txt
MD5: 4c36c3533a283e1aa199f80e20d264b9
SHA-1: f73e31d11f462f522a883c8f8f06d44f8d3e2f01
SHA-256: aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7
