Beheer

Security
Cybersecurity

Egregor-ransomware geeft beveiligingsadvies

Wel eerst ransom betalen

6 oktober 2020

Wel eerst ransom betalen

Een nieuwe vorm van ransomware, Egregor genaamd, bedreigt zijn slachtoffers niet alleen met het massaal bekend maken van gestolen bedrijfsinformatie voordat de boel versleuteld wordt. Nieuw is dat de getroffenen na betalen van losgeld advies beloofd wordt voor een betere beveiliging van hun systemen.

Dat melden beveiligers van Appgate, die de ransomware hebben bestudeerd. Egregor heeft inmiddels al minstens 13 slachtoffers gemaakt.

De code van de malware vertoont volgens de onderzoekers van Appgate veel overeenkomsten met die van de Sekhmet-ransomware. Daarbij gaat het onder meer om obfuscatietaktieken, API-calles en -stringes. Ook de ransom-boodschap vertoont veel overeenkomsten met die van Sekhmet. Wèl heeft de boodschap van Egregor als unieke toevoeging dat het slachtoffer na betaling van het losgeld advies krijgt voor een betere beveiliging van zijn netwerk om te voorkomen dat hij weer wordt aangevallen. Appgate heeft nog niet kunnen ontdekken waaruit die adviezen dan bestaan.

Analyse verhinderen

Egregor beschikt volgens de onderzoekers over opvallend veel technieken die het analyseren van de malware moeten verhinderen, zoals code obfuscation en packed payloads. Decryptie vereist bovendien dat de juiste sleutel wordt gebruikt in de process command line. Gevolg is dat het bestand niet geanalyseerd kan worden – niet met de hand en ook niet met behulp van een sandbox – als niet gewerkt wordt met de precieze command line die de aanvallers gebruikt hebben om de ransomware aan de gang te brengen.

Gefco

De hackers dreigen gevoelige informatie die zij gestolen hebben via massamedia vrij te geven, zodat veel partners en klanten te weten komen dat het slachtoffer is aangevallen. Dat is tot nu toe nog niet gebeurd, overigens. Volgens Appgate is er tot nu toe alleen gevoeilige informatie op een deep web site geplaats. Daar zijn ook de namen te vinden van 13 bedrijven die volgens de Egregor-groep met succes zijn aangevallen. Bekend is in elk geval dat de vervoerder Gefco twee weken geleden werd getroffen door een aanval met Egregor.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.