نماد سایت اتاق خبر شبکه گستر

فعالیت گسترده باج‌افزار Egregor

اداره تحقیقات فدرال (FBI) با انتشار یک اطلاعیه امنیتی، نسبت به فعالیت گسترده باج‌افزار Egregor بر ضد کسب‌وکارهای خصوصی در کشورهای مختلف هشدار داده است.

به گفته این نهاد ایالات متحده، از سپتامبر 2020، بیش از 150 شرکت، قربانی این باج‌افزار شده‌اند.

به دلیل تعداد بالای مهاجمانی که در توزیع Egregor نقش دارند تاکتیک‌ها، تکنیک‌ها و روال‌های (TTP) استفاده شده در جریان حملات آنها گسترده و متفاوت از یکدیگر است؛ موضوعی که مقابله با این باج‌افزار را دشوار کرده است.

ایمیل‌های فیشینگ با پیوست‌های مخرب و نفوذ از طریق پودمان‌های غیرامن Remote Desktop Protocol – به اختصار RDP – از جمله روش‌های رخنه اولیه مهاجمان به شبکه قربانیان گزارش شده است.

در جریان این حملات، مهاجمان از Cobalt Strike،وQakbot/Qbot،وAdvanced IP Scanner و AdFind برای ارتقای سطح دسترسی و گسترش دامنه نفوذ خود به سیستم‌های دیگر شبکه بهره می‌گیرند.

همچنین از ابزارهای 7-Zip و Rclone که در پس پروسه svchost توسط مهاجمان استتار شده‌اند در فرایند سرقت اطلاعات پیش از رمزگذاری فایل‌ها سوءاستفاده می‌شود.

در هشدار FBI به بهره‌جویی (Exploit) از آسیب‌پذیری‌های زیر نیز اشاره شده است:

Egregor از جمله باج‌افزارهایی است که در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) در اختیار تبهکاران سایبری قرار می‌گیرد.

به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد. این سهم در سرویس RaaS باج‌افزار Egregorو 70 و 30 درصد است. بدین‌نحو که 70 درصد از مبلغ باج به فرد یا گروهی که کار انتشار Egregor را بر عهده داشته می‌رسد و 30 درصد باقیمانده به برنامه‌نویسان و گردانندگان اصلی Egregor تعلق می‌گیرد.

به‌طور کلی مهاجمان Egregor، اهداف خود را به‌صورت خاص انتخاب کرده و ضمن سرقت فایل‌ها و داده‌ها، در صورت پرداخت نشدن مبلغ اخاذی‌شده اقدام به افشای آنها می‌کنند.

این باج‌افزار پس از آن‌که در آبان ماه گردانندگان Maze رسما اعلام کردند که پروژه باج‌افزاری آنها برای همیشه متوقف شده و سایت آنها دیگر اقدام به افشای داده‌های قربانیان نخواهد کرد بر سر زبان‌ها افتاد.

با رعایت موارد زیر می‌توان سازمان را از گزند این باج‌افزار مخرب ایمن نگاه داشت:

 

خروج از نسخه موبایل