Egregor 勒索软件：诱捕公司信息并威胁以 “大众媒体” 形式公开信息

新发现的勒索软件正在打击全球公司，包括GEFCO全球物流公司。

人们发现了一个新近发现的勒索软件家族，称为Egregor，采用了一种策略：在加密所有文件之前，先诱捕公司信息并威胁要以“大众媒体”形式发布信息。

Egregor是一个隐秘的术语，旨在表示一组人的集体能量或力量，尤其是当这些人团结一致以实现共同的目标时（即勒索软件帮派的一个名称）。根据Appgate的分析，该代码似乎是Sekhmet勒索软件（以埃及愈合女神的名字命名）的衍生产品-其他研究人员也注意到了这一链接。

“我们在Sekhmet和Egregor勒索软件中发现了相似之处，例如混淆技术，函数，API调用和字符串，例如％Greetings2target％和％sekhmet_data％更改为％egregor_data％，” Appgate的安全研究员Gustavo Palazolo告诉Threatpost。“此外，赎金记录也相当相似。”

关于其他技术细节，根据该公司周五宣布的研究，“我们分析的样本具有许多反分析技术，例如代码混淆和打包的有效载荷” 。“而且，在执行阶段之一中，只有在进程的命令行中提供了正确的密钥时，才能解密Egregor有效负载，这意味着如果文件或工具的确切密码相同，则无法手动或使用沙箱对其进行分析。没有提供攻击者用来运行勒索软件的命令行。”

此外，“我们发现Egregor可以通过命令行接收其他参数，例如’nomimikatz’，’killrdp’，’norename’等，” Palazolo说。“目前，我们的团队仍在对恶意软件进行逆向工程以获取整体情况。此外，我们将继续监视该家族出现的任何可能的变体。”

他说，总体而言，它具有与其他勒索软件系列相同的成熟度，但是Egregor实施了大量的反分析技术，例如代码混淆和有效负载加密。

虽然Appgate的研究人员不知道Egregor发行了多长时间，但它的首次公开露面是9月18日在Twitter上进行，当时它被@ demonslay335和@PolarToffee发现

Appgate研究人员还发现，赎金通知书要求在三天内付款-否则，敏感数据将被泄露。与NetWalker等勒索软件系列所采用的通常的双重勒索策略不同，Egregor运营商扬言要通过“大众媒体”分发被盗的内容，以便受害公司的合作伙伴和客户知道该公司受到了攻击。

与Threatpost分享的赎金记录的这一部分内容为：“这是什么意思？这意味着大众媒体，您的合作伙伴和客户很快就会知道您的问题。”

到目前为止，还没有发生大众媒体事件。“我们拥有的唯一证据就是深入的网站，他们在其中发布有关受攻击公司的详细信息，但我们尚未发现任何其他新闻或信息，这些信息或信息已发布给任何媒体组织，”帕拉佐洛说。

的确，分析发现了一个自计费的“ Egregor新闻”网站，该网站托管在深层网络中，犯罪集团用来泄漏被盗数据。

该公司表示：“在此通报之时，至少有13家不同的公司列入了他们的’耻辱表’，其中包括全球物流公司GEFCO，该公司上周遭受了网络攻击。”

Egregor赎金说明还说，除了在公司支付赎金的情况下解密所有文件之外，运营商还将提供有关保护公司网络安全的建议，“帮助”他们避免再次遭到破坏，“充当某种黑手党”。帽笔测试团队”，根据Appgate的研究。

注释中写着：“（如果付款完成了……您将完全解密网络中的计算机，下载文件的完整文件列表，从我们的服务器确认下载数据的删除，为保护您的网络边界提供建议。”

Palazolo说：““安全建议”引起了我们的注意，因为这对于犯罪集团而言是不寻常的，他们试图通过建议他们设法帮助保护您的网络来扮演好人。”

据称，勒索软件的初始感染媒介尚无定论，但就其目标而言，勒索软件似乎是机会均等的，据样本影响法国，德国，意大利，日本，墨西哥，沙特阿拉伯和美国的公司。研究者。

至于赎金的大小，犯罪软件操作员使受害者跳到铁箍上。

“遗憾的是，赎金记录中或Egregor网站上没有有关[赎金支付金额]的详细信息，”研究人员告诉Threatpost。“要获取付款明细，受害人需要导航到Egregor提供的深层Web链接，并通过实时聊天从攻击者那里获取指示，而我们尚未执行该聊天。”