اداره تحقیقات فدرال (FBI) با انتشار یک اطلاعیه امنیتی، نسبت به فعالیت گسترده باجافزار Egregor بر ضد کسبوکارهای خصوصی در کشورهای مختلف هشدار داده است.
به گفته این نهاد ایالات متحده، از سپتامبر 2020، بیش از 150 شرکت، قربانی این باجافزار شدهاند.
به دلیل تعداد بالای مهاجمانی که در توزیع Egregor نقش دارند تاکتیکها، تکنیکها و روالهای (TTP) استفاده شده در جریان حملات آنها گسترده و متفاوت از یکدیگر است؛ موضوعی که مقابله با این باجافزار را دشوار کرده است.
ایمیلهای فیشینگ با پیوستهای مخرب و نفوذ از طریق پودمانهای غیرامن Remote Desktop Protocol – به اختصار RDP – از جمله روشهای رخنه اولیه مهاجمان به شبکه قربانیان گزارش شده است.
در جریان این حملات، مهاجمان از Cobalt Strike،وQakbot/Qbot،وAdvanced IP Scanner و AdFind برای ارتقای سطح دسترسی و گسترش دامنه نفوذ خود به سیستمهای دیگر شبکه بهره میگیرند.
همچنین از ابزارهای 7-Zip و Rclone که در پس پروسه svchost توسط مهاجمان استتار شدهاند در فرایند سرقت اطلاعات پیش از رمزگذاری فایلها سوءاستفاده میشود.
در هشدار FBI به بهرهجویی (Exploit) از آسیبپذیریهای زیر نیز اشاره شده است:
Egregor از جمله باجافزارهایی است که در قالب خدمات موسوم به “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) در اختیار تبهکاران سایبری قرار میگیرد.
به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده میرسد. این سهم در سرویس RaaS باجافزار Egregorو 70 و 30 درصد است. بدیننحو که 70 درصد از مبلغ باج به فرد یا گروهی که کار انتشار Egregor را بر عهده داشته میرسد و 30 درصد باقیمانده به برنامهنویسان و گردانندگان اصلی Egregor تعلق میگیرد.
بهطور کلی مهاجمان Egregor، اهداف خود را بهصورت خاص انتخاب کرده و ضمن سرقت فایلها و دادهها، در صورت پرداخت نشدن مبلغ اخاذیشده اقدام به افشای آنها میکنند.
این باجافزار پس از آنکه در آبان ماه گردانندگان Maze رسما اعلام کردند که پروژه باجافزاری آنها برای همیشه متوقف شده و سایت آنها دیگر اقدام به افشای دادههای قربانیان نخواهد کرد بر سر زبانها افتاد.
با رعایت موارد زیر میتوان سازمان را از گزند این باجافزار مخرب ایمن نگاه داشت:
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin
- محدود کردن سطح دسترسی کاربران
- مدیریت سختگیرانه سطوح دسترسی اعمال شده بر روی پوشههای اشتراکی
- پرهیز از قابل دسترس کردن سرویسهای حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت یا مقاومسازی آنها
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها
- ارتقای سیستمهای عامل از رده خارج
- استفاده از ضدویروس قدرتمند و بهروز با قابلیت نفوذیاب
- استفاده از دیواره آتش و ضدهرزنامه در درگاه شبکه
- فعالسازی سیاستهای مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی
- رصد اجرای فایلهای bat،و js و vbs؛ برای این منظور میتوانید از راهکار قدرتمند McAfee Threat Intelligence Exchange بهره بگیرید.