Egregor ransomware, analisi minaccia ransomware

Che cos’è Egregor ransomware

Egregor è un gruppo di cybercriminali, il cui nome deriva da un concetto relativo alla magia. Ovvero indica un’entità astratta che deriva da un gruppo di persone che collaborano con un unico scopo. Questo gruppo si propone come fornitore di ransomware as a service, ovvero come produttore di codice di software malevolo che poi viene distribuito a degli operatori il cui compito è la diffusione del malware. All’interno, il collettivo ha un’organizzazione che ricorda quella di una vera e propria azienda, con diverse professionalità: dagli addetti all’exploitation iniziale, quelli dediti all’esfiltrazione fino a coloro che si occupano della diffusione.

Il nuovo threat group nasce distribuendo fra gli affiliati i compiti per le varie fasi della campagna, dall’exploitation iniziale fino all’esfiltrazione dei dati ed alla distribuzione del ransomware nonché all’amministrazione della piattaforma di pagamento e la pubblicazione dei leaks nel dark web. Non solo, per rendere ancora più pressante la minaccia, il collettivo utilizza la minaccia della doppia estorsione. Ossia richiede un riscatto sia per ottenere una chiave di decriptazione per i file infettati che per evitare la diffusione dei dati sensibili ivi contenuti. Infine, questo ransomware è stato un vero osso duro anche il i ricercatori di sicurezza informatica che inizialmente si sono dovuti scontrare con una serie di difficoltà per analizzarne il codice.

Come funziona l’attacco di Egregor ransomware

L’Egregor ransomware è un tipo di malware che crittografa i dati delle vittime, bloccando l’accesso ai propri file e richiedendo un riscatto per il loro ripristino. Ecco un’analisi delle caratteristiche tecniche di un attacco Egregor ransomware.

Gli attacchi Egregor spesso iniziano tramite:

• l’invio di e-mail di phishing
• exploit di vulnerabilità del software
• attacchi di forza bruta alle credenziali di accesso remote
• attraverso altri malware (come trojan o dropper) che installano Egregor nel sistema.

Una volta nel sistema, l’Egregor ransomware si esegue e cerca di ottenere privilegi di amministratore per avere un maggiore controllo sul sistema infetto. Utilizza tecniche di persistenza per sopravvivere ai riavvii del sistema e rimanere attivo il più a lungo possibile. Il ransomware Egregor crittografa i dati della vittima utilizzando algoritmi di crittografia robusti come RSA e AES. Durante la crittografia, i file vengono rinominati con estensioni specifiche (ad esempio, “.egregor“) per indicare che sono stati crittografati.

Il ransomware cerca poi di diffondersi all’interno della rete della vittima, colpendo altri dispositivi e sistemi condivisi.
Utilizza tecniche come:

• enumerazione delle risorse condivise
• abuso di credenziali rubate
• exploit di vulnerabilità per spostarsi lateralmente nella rete.

Dopo aver crittografato i file, l’Egregor ransomware genera una nota di riscatto (solitamente chiamata “RECOVER-FILES.txt“) che fornisce istruzioni su come pagare il riscatto per il ripristino dei dati. Inoltre, l’Egregor spesso minaccia di divulgare i dati rubati se il riscatto non viene pagato, aumentando la pressione sulla vittima. In alcuni casi, l’Egregor ransomware può esfiltrare i dati sensibili prima di crittografarli, come ulteriore strumento di persuasione per il pagamento del riscatto. I dati rubati possono essere utilizzati per ulteriori attacchi o venduti sul dark web. L’Egregor ransomware cerca di coprire le proprie tracce eliminando i file temporanei, le chiavi di registro e le shadow copy dei file, rendendo più difficile per gli investigatori ricostruire il percorso dell’attacco e per le vittime recuperare i propri dati senza pagare il riscatto.

Quali estensioni di file vengono crittografati da Egregor Ransomware

Egregor ransomware prende di mira una vasta gamma di file, con particolare attenzione ai documenti, immagini, video, file audio, database e file di sistema. L’obiettivo è criptare i dati più importanti e sensibili per la vittima, rendendo l’attacco più efficace e aumentando le probabilità che il riscatto venga pagato.

Tipicamente, i file presi di mira includono:

• Documenti: file Microsoft Office come Word (.doc, .docx), Excel (.xls, .xlsx), PowerPoint (.ppt, .pptx), file PDF (.pdf) e altri formati di documenti testuali o di elaborazione.
• Immagini: file grafici come JPEG (.jpg, .jpeg), PNG (.png), GIF (.gif), TIFF (.tiff) e file di progetto grafico come Adobe Photoshop (.psd).
• Video: file multimediali come MP4 (.mp4), AVI (.avi), MOV (.mov), WMV (.wmv) e altri formati video comuni.
• Audio: file audio come MP3 (.mp3), WAV (.wav), FLAC (.flac), file di progetto audio come quelli di software di registrazione e produzione musicale.
• Database: file di database come MySQL, Microsoft SQL Server, Oracle, PostgreSQL e altri formati di database comuni.
• File di sistema: file di configurazione, log, script e altri file che potrebbero essere cruciali per il funzionamento dei software e dei sistemi operativi.
• Archivi: file compressi come ZIP (.zip), RAR (.rar), 7z (.7z) e altri formati di archivio.

Difendere un’azienda da Egregor ransomware

Un’azienda può difendersi da un attacco di Egregor ransomware adottando una serie di misure preventive e di sicurezza informatica. La protezione inizia con l’implementazione di una solida strategia di sicurezza che preveda vari livelli di difesa. In primo luogo, è essenziale assicurarsi che tutti i software e i sistemi operativi siano aggiornati con le ultime patch di sicurezza. Gli aggiornamenti riducono le vulnerabilità che possono essere sfruttate dagli attaccanti per infiltrarsi nei sistemi aziendali. Le aziende devono anche implementare soluzioni di sicurezza robuste, come firewall, sistemi di prevenzione delle intrusioni e software antivirus, per monitorare e bloccare i tentativi di attacco.

La segmentazione della rete può limitare la diffusione del ransomware all’interno del sistema, riducendo l’impatto dell’attacco. La formazione degli utenti è un altro aspetto cruciale della difesa contro gli attacchi ransomware. Gli utenti dovrebbero essere istruiti sul riconoscimento e la segnalazione di tentativi di phishing, e-mail sospette e comportamenti anomali.

Questo può prevenire l’infezione iniziale da Egregor ransomware.

L’implementazione di soluzioni di monitoraggio e rilevamento delle minacce può contribuire a identificare tempestivamente eventuali attacchi e consentire un intervento rapido per mitigarne gli effetti. Queste soluzioni possono includere l’analisi del traffico di rete, l’analisi dei log e l’intelligenza sulle minacce. In sintesi, la protezione da un attacco di Egregor ransomware richiede una combinazione di misure tecniche, formazione degli utenti e buone pratiche di gestione delle risorse informatiche. Adottando un approccio multilivello alla sicurezza, un’azienda può ridurre significativamente il rischio di cadere vittima di un attacco di ransomware.

Considerazioni finali su Egregor ransomware

I ransomware non sono tutti uguali. Ce ne sono (pochi) fondamentalmente innocui, altri pericolosi e poi ce ne sono alcuni, in grado si sferrare attacchi devastanti. Egregor è tra questi ultimi, è una sorta di superstar dei ransomware, che unisce le migliori caratteristiche di tutti i più terribili ransomware degli ultimi anni. Combina tecniche anti-analisi molto efficienti con algoritmi di criptazione indicibilmente sicuri, utilizza la doppia estorsione insieme ad altre strategie di pressing psicologico sulla vittima. Un’arma davvero potente, diffusa agilmente da persone che non necessitano di competenze particolari, secondo il modello RaaS.

Per fortuna, anche in questo caso, la minaccia è stata neutralizzata. In un’azione congiunta delle polizie di Francia, Stati Uniti e Ucraina molti degli hacker che lavoravano a questo ransomware sono stati arrestati. Infine all’inizio del 2021 il sito Egregor News è stato messo offline e sono state smantellate intere infrastrutture malevole attraverso cui operava questo gruppo (ma anche Emotet e NetWalker).