Программа-вымогатель Egregor

Программа-вымогатель Egregor

Наверное, 2020 год не останется в истории человечества особенно позитивным. В большей части мира глобальная пандемия, которая заблокировала экономику и систему здравоохранения во многих странах, вызывает огромные сбои в повседневной жизни. Для сообщества кибербезопасности это будет бессовестное использование хакерами пандемии для реализации фишинговых кампаний. Более того, сообщество запомнит год, когда банды вымогателей стали еще более безжалостными и начали раскрывать подробности жертв, отказавшихся платить выкуп.

В течение года появилось несколько новых штаммов программ-вымогателей, которые пытаются усилить давление на жертву, раскрывая секретные и конфиденциальные данные. Недавно к этой группе присоединился новый вымогатель — Egregor.

Новые программы-вымогатели

Название нового штамма программ-вымогателей — Egregor — происходит от западных оккультных традиций и рассматривается как коллективная сила группы людей, особенно когда они ориентированы на общую цель. Как и в случае с хакерскими бандами, которые начали использовать эту вредоносную программу в своих целях.

О технических аспектах нового вируса известно пока немного, поскольку ученые все еще воспроизводят полученные образцы. Первое упоминание о программах-вымогателях на публичном форуме было 18 сентября. С тех пор ученые начали открывать его секреты. В настоящее время установлено, что Эгрегор, похоже, тесно связан с Сехметом, который был обнаружен в марте и всего на несколько месяцев старше своего двоюродного брата. По словам исследователей, сходство между двумя вариантами включает схожую тактику заражения, обфускацию, вызовы API и записки о выкупе, среди прочего. Что касается технических деталей, например, специалисты AppGate говорят следующее:

«В проанализированной нами выборке используется ряд методов «антианализа», таких как обфускация кода и упакованные зашифрованные полезные данные. Кроме того, на одном из этапов выполнения полезные данные Egregor могут быть расшифрованы только в том случае, если в командной строке процесса указан правильный ключ, что означает, что файл нельзя проанализировать ни вручную, ни с помощью песочницы. Кроме того, наша команда нашла сайт «Новости Эгрегора», размещенный в DarkNet, который преступная группа использует для публикации украденных данных». Все сообщество CyberSec должно с нетерпением ждать технической обратной связи, чтобы лучше защитить сети от угрозы, исходящей от Egregor. Однако это может быть отложено, поскольку программа-вымогатель использует множество взаимосвязанных передовых методов антианализа. Плюс это уже не секрет…

Число жертв увеличивается

Как сообщается, на данный момент банда успешно напала на 13 жертв, трое из которых попали в заголовки газет. Следует отметить, что в двух из трех случаев атакованным все же необходимо подтвердить, что они стали жертвами атаки вымогателя, однако есть достаточно доказательств, чтобы предположить, что они были, и Эгрегор мог быть виновником.

Последней жертвой, попавшей в заголовки газет, стал американский гигант Barnes and Noble. Они выпустили публичное заявление, подтверждающее киберинцидент, который мог поставить под угрозу данные клиентов. Принимая это во внимание, некоторые исследователи полагают, что компания могла стать жертвой программы-вымогателя, в первую очередь Egregor. Это предположение основано на нескольких факторах, включая влияние на корпоративные сети, которое привело к продолжительным периодам простоя, не позволяющим клиентам получить доступ к определенным услугам.

Две другие жертвы, попавшие в заголовки газет, были гигантами индустрии видеоигр — Crytek и Ubisoft. Первый подтвердил, что он был атакован программой-вымогателем, а банда Egregor опубликовала около 400 МБ данных, принадлежащих создателю известной игры Crysis. Киберпреступники также утверждают, что украли исходный код предстоящей игры Ubisoft «Watchdogs: Legion». Чтобы доказать это утверждение, банда опубликовала 20 МБ данных, которые, по их мнению, являются игровыми активами. Сами активы не доказывают вне разумных сомнений, что они принадлежат Ubisoft и могли быть украдены где-то еще. Ubisoft не подтвердила, что инцидент действительно произошел. Однако считается, что сотрудники Ubisoft в прошлом становились жертвами фишинговых атак. Это тоже предположение.

Одно можно сказать наверняка, и это видно невооруженным глазом. Киберпреступники, использующие Egregor, нацелены на крупные богатые корпорации и, безусловно, требуют больших выкупов.

Слово в конце

Многие известные банды вымогателей, которые, по всей видимости, нацелены только на крупные корпоративные сети, используют сайты, публикующие утечки данных. Список, кажется, неуклонно растет месяц за месяцем. Растущее количество плохих новостей может заставить вас чувствовать себя беспомощным, но эти атаки можно предотвратить. В последние месяцы операторы программ-вымогателей нацелены на известные уязвимости в серверах VPN, и, хотя об этих атаках широко сообщалось, некоторые корпоративные сети все еще уязвимы. В наши дни получение доступа к корпоративной сети — это большой бизнес в сети TOR. Посредники пытаются продать доступ к сетям, которые они взломали, но пока не наделали в этом никакого шума. Операторы программ-вымогателей являются потенциальными клиентами для таких транзакций.

Учитывая большое количество громких жертв только в прошлом году, ожидается, что эта тенденция появления новых штаммов программ-вымогателей, угрожающих публикации данных, будет продолжать расти. Некоторые исследователи безопасности предполагают, что выплаты выкупа должны быть незаконными и наказываться соответствующими органами. Это должно ограничить активность программ-вымогателей в глобальном масштабе, уменьшив потенциальную прибыль преступных группировок, использующих вредоносное ПО.

Исхаков Максим

Руководитель информационного портала "Безопасник". Директор компании по продаже и установке систем безопасности.

Оцените автора
Портал о системах видеонаблюдения и безопасности
Добавить комментарий

  1. Алекс

    Интересная информация… Побольше статей на подобную тематику нужно…

    0
    Ответить