فعالیت گسترده باج‌افزار Egregor

اداره تحقیقات فدرال (FBI) با انتشار یک اطلاعیه امنیتی، نسبت به فعالیت گسترده باج‌افزار Egregor بر ضد کسب‌وکارهای خصوصی در کشورهای مختلف هشدار داده است.

به گفته این نهاد ایالات متحده، از سپتامبر 2020، بیش از 150 شرکت، قربانی این باج‌افزار شده‌اند.

به دلیل تعداد بالای مهاجمانی که در توزیع Egregor نقش دارند تاکتیک‌ها، تکنیک‌ها و روال‌های (TTP) استفاده شده در جریان حملات آنها گسترده و متفاوت از یکدیگر است؛ موضوعی که مقابله با این باج‌افزار را دشوار کرده است.

ایمیل‌های فیشینگ با پیوست‌های مخرب و نفوذ از طریق پودمان‌های غیرامن Remote Desktop Protocol – به اختصار RDP – از جمله روش‌های رخنه اولیه مهاجمان به شبکه قربانیان گزارش شده است.

در جریان این حملات، مهاجمان از Cobalt Strike،وQakbot/Qbot،وAdvanced IP Scanner و AdFind برای ارتقای سطح دسترسی و گسترش دامنه نفوذ خود به سیستم‌های دیگر شبکه بهره می‌گیرند.

همچنین از ابزارهای 7-Zip و Rclone که در پس پروسه svchost توسط مهاجمان استتار شده‌اند در فرایند سرقت اطلاعات پیش از رمزگذاری فایل‌ها سوءاستفاده می‌شود.

در هشدار FBI به بهره‌جویی (Exploit) از آسیب‌پذیری‌های زیر نیز اشاره شده است:

• CVE-2020-0609
• CVE-2020-0610
• CVE-2020-16896
• CVE-2019-1489
• CVE-2019-1225
• CVE-2019-1224
• CVE-2019-1108

Egregor از جمله باج‌افزارهایی است که در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) در اختیار تبهکاران سایبری قرار می‌گیرد.

به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد. این سهم در سرویس RaaS باج‌افزار Egregorو 70 و 30 درصد است. بدین‌نحو که 70 درصد از مبلغ باج به فرد یا گروهی که کار انتشار Egregor را بر عهده داشته می‌رسد و 30 درصد باقیمانده به برنامه‌نویسان و گردانندگان اصلی Egregor تعلق می‌گیرد.

به‌طور کلی مهاجمان Egregor، اهداف خود را به‌صورت خاص انتخاب کرده و ضمن سرقت فایل‌ها و داده‌ها، در صورت پرداخت نشدن مبلغ اخاذی‌شده اقدام به افشای آنها می‌کنند.

این باج‌افزار پس از آن‌که در آبان ماه گردانندگان Maze رسما اعلام کردند که پروژه باج‌افزاری آنها برای همیشه متوقف شده و سایت آنها دیگر اقدام به افشای داده‌های قربانیان نخواهد کرد بر سر زبان‌ها افتاد.

با رعایت موارد زیر می‌توان سازمان را از گزند این باج‌افزار مخرب ایمن نگاه داشت:

• استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin
• محدود کردن سطح دسترسی کاربران
• مدیریت سخت‌گیرانه سطوح دسترسی اعمال شده بر روی پوشه‌های اشتراکی
• پرهیز از قابل دسترس کردن سرویس‌های حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت یا مقاوم‌سازی آنها
• غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیش‌فرض آن
• اطمینان از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
• ارتقای سیستم‌های عامل از رده خارج
• استفاده از ضدویروس قدرتمند و به‌روز با قابلیت نفوذیاب
• استفاده از دیواره آتش و ضدهرزنامه در درگاه شبکه
• فعال‌سازی سیاست‌های مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی
• رصد اجرای فایل‌های bat،و js و vbs؛ برای این منظور می‌توانید از راهکار قدرتمند McAfee Threat Intelligence Exchange بهره بگیرید.