ソフォスの研究者は、Egregor ランサムウェアを詳しく調べました。 ランサムウェアは Maze の秘密の後継者ですか?
レポート「Egregor ランサムウェア: Maze の後継者と思われる」は、XNUMX 月以降に Egregor が関与した複数のインシデントに基づいています。 ソフォスの研究者は、とりわけ次のことを発見しました。
- さまざまな発信者からの攻撃におけるさまざまな戦術、手法、および手順 (TTP) は、RaaS の犯罪者の顧客が攻撃アプローチをさまざまに変えて、防御をより困難にする可能性があることを示しています。
- 以下のような Maze ランサムウェアとの類似点: B. ChaCha および RSA 暗号化アルゴリズムの使用
- Egregor と Sekhmet の間の接続 (Egregor は Sekhmet の派生物です)
- Ryuk ランサムウェア攻撃との類似点。 Sophos Rapid Response チームが調査したインシデントでは、Cobalt Strike を使用し、ファイルを C:\perflogs ディレクトリにコピーし、悪意のある Tor ネットワーク プロキシである SystemBC を使用しましたが、いずれも 2020 年 XNUMX 月の Ryuk 攻撃で観察された動作と一致しています。
Sophos のシニア セキュリティ リサーチャーである Sean Gallagher は次のように説明しています。
「この結果は、ランサムウェア オペレーターが被害者に到達するために複数のマルウェア配布チャネルに依存することが多いため、IT セキュリティ チームがサービスとしてのランサムウェア攻撃を防御することがいかに難しいかを示しています。 これにより、予測が困難な、より多様な攻撃プロファイルが作成されます。」
ランサムウェア タイプの TTP が大幅に増加
研究者によると、各タイプのランサムウェアで使用される戦術、技術、手順 (TTP) の数は大幅に増加しています。 したがって、よく考えられた防御戦略が不可欠です。 「身代金が支払われない場合、Egregor の背後にいるグループが盗んだデータを販売すると主張していることを考えると、組織データの適切なバックアップを保持するだけでは、ランサムウェアを軽減するには不十分です」と Gallagher 氏は続けました。 「Tor接続を防ぐなど、一般的なデータ流出ルートをブロックすると、データを盗むのがより困難になる可能性があります.エキスパートの脅威ハンティング チームです。」
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。