Egregor-ransomware geeft beveiligingsadvies

Dat melden beveiligers van Appgate, die de ransomware hebben bestudeerd. Egregor heeft inmiddels al minstens 13 slachtoffers gemaakt.

De code van de malware vertoont volgens de onderzoekers van Appgate veel overeenkomsten met die van de Sekhmet-ransomware. Daarbij gaat het onder meer om obfuscatietaktieken, API-calles en -stringes. Ook de ransom-boodschap vertoont veel overeenkomsten met die van Sekhmet. Wèl heeft de boodschap van Egregor als unieke toevoeging dat het slachtoffer na betaling van het losgeld advies krijgt voor een betere beveiliging van zijn netwerk om te voorkomen dat hij weer wordt aangevallen. Appgate heeft nog niet kunnen ontdekken waaruit die adviezen dan bestaan.

Analyse verhinderen

Egregor beschikt volgens de onderzoekers over opvallend veel technieken die het analyseren van de malware moeten verhinderen, zoals code obfuscation en packed payloads. Decryptie vereist bovendien dat de juiste sleutel wordt gebruikt in de process command line. Gevolg is dat het bestand niet geanalyseerd kan worden – niet met de hand en ook niet met behulp van een sandbox – als niet gewerkt wordt met de precieze command line die de aanvallers gebruikt hebben om de ransomware aan de gang te brengen.

Gefco

De hackers dreigen gevoelige informatie die zij gestolen hebben via massamedia vrij te geven, zodat veel partners en klanten te weten komen dat het slachtoffer is aangevallen. Dat is tot nu toe nog niet gebeurd, overigens. Volgens Appgate is er tot nu toe alleen gevoeilige informatie op een deep web site geplaats. Daar zijn ook de namen te vinden van 13 bedrijven die volgens de Egregor-groep met succes zijn aangevallen. Bekend is in elk geval dat de vervoerder Gefco twee weken geleden werd getroffen door een aanval met Egregor.