Les chercheurs de Sophos ont examiné de près le rançongiciel Egregor. Le rançongiciel est-il l'héritier secret de Maze ?
Le rapport, "Egregor ransomware : l'héritier présomptif de Maze", est basé sur plusieurs incidents impliquant Egregor depuis septembre. Les chercheurs de Sophos ont trouvé, entre autres :
- Différentes tactiques, techniques et procédures (TTP) dans les attaques de différents auteurs, montrant à quel point les clients RaaS criminels peuvent varier leurs approches d'attaque et ainsi rendre la défense plus difficile
- Similitudes avec Maze Ransomware, telles que : B. Utilisation des algorithmes de chiffrement ChaCha et RSA
- Connexions entre Egregor et Sekhmet (Egregor est un dérivé de Sekhmet)
- Similitudes avec les attaques du rançongiciel Ryuk. Lors d'un incident sur lequel l'équipe Sophos Rapid Response a enquêté, l'utilisation de Cobalt Strike, la copie de fichiers dans le répertoire C:\perflogs et l'utilisation de SystemBC - un proxy réseau Tor malveillant - sont tous d'accord avec le comportement observé lors d'une attaque Ryuk en septembre 2020
Sean Gallagher, chercheur senior en sécurité chez Sophos, explique
« Les résultats montrent à quel point il peut être difficile pour les équipes de sécurité informatique de se défendre contre les attaques de ransomwares en tant que service, car les opérateurs de ransomwares s'appuient souvent sur plusieurs canaux de distribution de logiciels malveillants pour atteindre leurs victimes. Cela crée un profil d'attaque plus diversifié et plus difficile à prévoir.
Les TTP des types de rançongiciels ont considérablement augmenté
Selon les chercheurs, le nombre de tactiques, techniques et procédures (TTP) utilisées par chaque type de ransomware a considérablement augmenté. Une stratégie de défense bien pensée est donc essentielle. "Étant donné que le groupe derrière Egregor prétend vendre des données volées si la rançon n'est pas payée, il ne suffit pas d'avoir une bonne sauvegarde des données organisationnelles pour atténuer les ransomwares", a poursuivi Gallagher. "Bloquer les routes d'exfiltration de données courantes - comme empêcher les connexions Tor - peut rendre plus difficile le vol de données." Cependant, la meilleure défense consiste à empêcher les attaquants de prendre pied sur le réseau en premier lieu, tout aussi important que d'employer une équipe d'experts en chasse aux menaces.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.