Οι εμπειρογνώμονες ασφαλείας προειδοποιούν ότι μια νέα ransomware ομάδα κλιμακώνει ταχέως την απειλητική της δραστηριότητα, διενεργώντας διπλές επιθέσεις εκβιασμού σε πολυάριθμα θύματα από όλο τον κόσμο. Πρόκειται για τη συμμορία του Egregor ransomware που έγινε γνωστή αφότου πραγματοποίησε επίθεση εναντίον της Barnes & Noble και των προγραμματιστών παιχνιδιών Ubisoft και Crytek τον Οκτώβριο, όπως αναφέρει η Digital Shadows. Η συμμορία του Egregor εκτιμάται ότι είναι η “διάδοχος” τη συμμορίας του Maze ransomware.

Ωστόσο, η ομάδα αναπτύσσει δραστηριότητα στο τοπίο των απειλών από τον Σεπτέμβριο, οπότε πραγματοποίησε επιθέσεις με στόχο 15 διαφορετικά θύματα. Στη συνέχεια, ήρθε μια αύξηση 240%, με πάνω από 50 οργανισμούς να προστίθενται στη λίστα των θυμάτων της. Αξίζει να σημειωθεί ότι από τις 17 Νοεμβρίου, έχουν προστεθεί 21 ακόμη θύματα.

Σύμφωνα με την Digital Shadows, μεταξύ των θυμάτων του Egregor ransomware συγκαταλέγονται οργανισμοί που δραστηριοποιούνται στον κλάδο των βιομηχανικών αγαθών και υπηρεσιών (38%), με την πλειοψηφία αυτών (83%) να βρίσκεται στις ΗΠΑ.

Επιπλέον, το συγκεκριμένο malware έχει σχεδιαστεί με πολλαπλά build-in μέτρα κατά της ανάλυσης, όπως η απόκρυψη κώδικα και packed payloads. Πιο συγκεκριμένα, η Digital Shadows επεσήμανε ότι οι διεπαφές προγραμματισμού εφαρμογών των Windows (API) αξιοποιούνται για την κρυπτογράφηση των payload data. Αν οι ομάδες ασφαλείας δεν μπορούν να παρουσιάσουν το σωστό όρισμα της γραμμής εντολών, τότε τα δεδομένα δεν μπορούν να αποκρυπτογραφηθούν και το malware δεν μπορεί να αναλυθεί.

Η εταιρεία πρόσθεσε ακόμη ότι όταν παρουσιαστεί το σωστό όρισμα γραμμής εντολών, το malware εκτελείται εισάγοντας τη διαδικασία iexplore.exe, κρυπτογραφώντας όλα τα αρχεία κειμένου και τα έγγραφα και επισυνάπτοντας ένα σημείωμα λύτρων σε κάθε φάκελο που έχει κρυπτογραφημένο αρχείο. Αυτή η διαδικασία περιλαμβάνει αρχεία σε απομακρυσμένους υπολογιστές και servers μέσω ελέγχων στα αρχεία καταγραφής συμβάντων LogMeIn.

Οι χάκερς του Egregor ransomware, όπως και άλλες συμμορίες, διατηρούν dark site στο οποίο δημοσιεύουν τα δεδομένα που κλέβουν από τα εκάστοτε θύματά τους, ώστε τα δεύτερα να αναγκαστούν να πληρώσουν λύτρα. Όπως αναφέρει το Infosecurity Magazine, η συμμορία του Egregor φαίνεται να ακολουθεί τα χνάρια της συμμορίας του Maze ransomware, που σταμάτησε την δράση της τον Οκτώβριο.

Για παράδειγμα, δημοσίευσε 200MB δεδομένων που αφορούν παιχνίδια της Ubisoft, ισχυριζόμενη πως είχε στην κατοχή της τον πηγαίο κώδικα του ακυκλοφόρητου παιχνιδιού Watchdogs: Legion. Παράλληλα, κλάπηκαν 400MB δεδομένων σχετικά με τα παιχνίδια Warface και Arena of Fate της Crytek.