Sophos araştırmacıları, Egregor fidye yazılımını yakından inceledi. Fidye yazılımı Maze'in gizli varisi mi?
"Egregor fidye yazılımı: Maze'in varisi" başlıklı rapor, Eylül ayından bu yana Egregor'un dahil olduğu birkaç olaya dayanmaktadır. Sophos araştırmacıları, diğer şeylerin yanı sıra şunları buldu:
- Farklı kaynaklardan gelen saldırılarda farklı taktikler, teknikler ve prosedürler (TTP'ler), suçlu RaaS müşterilerinin saldırı yaklaşımlarını ne kadar değiştirebileceğini ve dolayısıyla savunmayı ne kadar zorlaştırabileceğini gösteriyor.
- Maze Ransomware ile benzerlikler, örneğin: B. ChaCha ve RSA şifreleme algoritmalarını kullanma
- Egregor ve Sekhmet arasındaki bağlantılar (Egregor, Sekhmet'in bir türevidir)
- Ryuk fidye yazılımı saldırılarıyla benzerlikler. Sophos Rapid Response ekibi tarafından araştırılan bir olayda, Cobalt Strike kullanarak, dosyaları C:\perflogs dizinine kopyalayarak ve kötü niyetli bir Tor ağ proxy'si olan SystemBC kullanarak Eylül 2020'de gerçekleşen bir Ryuk saldırısı sırasında gözlemlenen davranışla hemfikirdirler.
Sophos'ta kıdemli güvenlik araştırmacısı Sean Gallagher açıklıyor
“Fidye yazılımı operatörleri kurbanlarına ulaşmak için genellikle birden çok kötü amaçlı yazılım dağıtım kanalına güvendiğinden, sonuçlar BT güvenlik ekiplerinin hizmet olarak fidye yazılımı saldırılarına karşı savunma yapmasının ne kadar zor olabileceğini gösteriyor. Bu, tahmin edilmesi daha zor olan daha çeşitli bir saldırı profili yaratıyor.”
Fidye yazılımı türlerinin TTP'leri önemli ölçüde arttı
Araştırmacılara göre, her tür fidye yazılımı tarafından kullanılan taktik, teknik ve prosedürlerin (TTP'ler) sayısı önemli ölçüde arttı. İyi düşünülmüş bir savunma stratejisi bu nedenle önemlidir. Gallagher, "Egregor'un arkasındaki grubun, fidye ödenmediği takdirde çalınan verileri sattığını iddia ettiği göz önüne alındığında, yalnızca kurumsal verilerin iyi bir yedeğine sahip olmak, fidye yazılımlarını azaltmak için yeterli değildir," diye devam etti Gallagher. "Tor bağlantılarını engellemek gibi yaygın veri sızdırma yollarının engellenmesi, verilerin çalınmasını daha zor hale getirebilir." Ancak, en iyi savunma, saldırganların ağda bir yer edinmesini en başta engellemek kadar önemlidir. uzman bir tehdit avcısı ekibi.”
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.