Offert dans le cadre d’un modèle commercial Ransomware-as-a-Service (RaaS), le ransomware Egregor représente une grande menace pour les entreprises en raison de l’utilisation de la double extorsion, avertit une récente notification du secteur privé du Federal Bureau of Investigation.

Initialement observé par le FBI en septembre 2020, Egregor a fait plus de 150 victimes à ce jour, partout dans le monde. Suite à une compromission du réseau, les opérateurs d’Egregor ne se contentent pas de chiffrer les fichiers des victimes, mais aussi d’exfiltrer les données, menaçant de les publier en ligne à moins qu’une rançon ne soit payée.

La note de rançon qu’elle dépose sur les machines compromises indique aux victimes de contacter les opérateurs via un chat en ligne. Les acteurs de la menace demandent une rançon à payer en échange des informations exfiltrées et d’un outil pour récupérer les fichiers cryptés.

Egregor, selon le FBI, est déployé par plusieurs personnes, ce qui signifie que les tactiques, techniques et procédures (TTP) utilisées dans les attaques sont variées et que se défendre contre ces attaques est un défi.

Les opérateurs du ransomware ont été observés ciblant les réseaux d’entreprises ainsi que les comptes personnels des employés. Les e-mails de phishing contenant des pièces jointes malveillantes peuvent être utilisés, mais Egregor exploiterait également le protocole RDP (Remote Desktop Protocol) ou les réseaux privés virtuels (VPN) pour l’accès initial.

En outre, les acteurs de la menace derrière Egregor peuvent également tirer parti de sa capacité d’exploitation RDP pour se déplacer latéralement à l’intérieur des réseaux compromis.

Après l’accès initial, des outils de test et d’exploitation du stylet sont utilisés pour l’élévation des privilèges et les mouvements latéraux. Certains d’entre eux incluent Advanced IP Scanner, AdFind, Cobalt Strike et Qakbot / Qbot. Des utilitaires tels que Rclone et 7zip sont utilisés de manière abusive pour l’exfiltration de données.

Les victimes de ransomware ne devraient pas payer la rançon, car cela encourage les adversaires à cibler des organisations supplémentaires et peut attirer davantage de criminels en herbe vers la distribution de ransomwares, selon le FBI.

«Payer la rançon …

Voir la source de cette publication