Af Bhabesh Raj Rai, Associate Security Analytics Engineer

Egregor er en variant af Sekhmet ransomware-familien og er fortsat en af de mest aktive og aggressive ransomware-grene i det seneste år og menes i vid udstrækning at være efterfølgeren til Maze-ransomwaren. Group-IB, Insikt og Palo Alto Networks er uafhængigt af hinanden nået frem til den konklusion, at Egregor er forbundet med commodity-malware såsom Qakbot, IcedID og Ursnif for at få indledende adgang til ofrenes systemer.

Egregor så dagens lys midt i  september 2020, samtidig med at Maze-ransomwaren offentliggjorde sin tilbagetrækning. I løbet af denne korte tid er det lykkedes Egregor at kompromittere et stort antal ofre verden over. Ofrene omfatter højt profilerede virksomheder som Kmart, Ubisoft, Crytek og Randstad. Den kraftige stigning i Egregors aktivitet signalerer, at Maze-operatører hurtigt skiftede til Egregor uden problemer.

Egregor-angreb er karakteriseret ved effektive metoder med dobbelt afpresning

Egregor følger samme ransomware-as-a-service-model (RaaS) som andre populære ransomware-grene, herunder Ryuk og Maze. Med RaaS abonnerer cyberkriminelle på brugen af Egregor, hvilket gør det muligt for selv nye hackere at starte komplekse ransomware-angreb. En anden grund til, at Egregor spreder sig hurtigt, er den meget effektive taktik med dobbelt afpresning, hvor de cyberkriminelle får adgang til følsomme data, krypterer dem for at forhindre ofrene i at få adgang til dem og derefter offentliggør en del af de kompromitterede data som bevis på udtrækningen. Dobbelt afpresning sætter ofrene under maksimalt pres for at få dem til at udbetale løsesummen, og det virker. Arete IR anfører, at Egregors gennemsnitlige krav om løsepenge er på $ 3.407.119 med en gennemsnitlig nedetid for forretningen på 12 dage. 

Egregor-aktører er kendt for deres forhandlingsstil. De ondsindede aktører giver deres ofre et ultimatum: De vil lække dataene inden for 72 timer, hvis de ikke modtager et svar efter krypteringen af ofrenes systemer. På samme måde som Maze og Ryuk går Egregor efter de store virksomheder på grund af deres evne til at betale en høj løsesum, hvilket giver en betydelig fortjeneste.

Et typisk Egregor-angreb involverer et ondsindet makroinfiltreret Microsoft Office-dokument, der er vedhæftet i en phishing-e-mail som den indledende infektionsvektor. Når dokumentet åbnes, kan den ondsindede makro downloade malware såsom Qakbot eller IcedID. Den downloadede malware vil derefter begynde rekognoscering af værten og netværket og indsamle legitimationsoplysninger til brug i forbindelse med lateral movement. Malwaren kan bruge enten PsExec eller WMI til lateral movement. I nogle tilfælde har Egregor-aktører også udrullet cobalt-angreb. Når infektionscyklussen er ved at være slut, downloader malwaren typisk en batch og en zip-fil. Zip-filen indeholder RClone-værktøjet med dets konfigurationsfiler til at udtrække data til websteder, der hoster filer i et cloudmiljø, f.eks. DropBox eller OneDrive. Batchen indeholder en kommando til at downloade og køre Egregor DLL via rundll32.

I februar 2021 førte en fælles undersøgelse mellem det franske og det ukrainske politi til anholdelsen af nogle af Egregor RaaS-kunderne. Myndighederne mente imidlertid, at ingen af de anholdte kriminelle tilhører Egregor-driftsteamet. Vi kan antage, at anholdelsen ikke betyder permanent nedlukning af Egregor ransomware-familien. 

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Hurtige fakta om Egregor

• Aktiv siden midten af september 2020
• Bruger RaaS-modellen til at sprede sig hurtigt
• Aggressiv taktik med dobbelt afpresning giver enorm indtjening
• Er afhængig af phishing til den indledende infektion
• Den gennemsnitlige løsesum er mere end 3 millioner USD med 12 dages nedetid for forretningen

Identifikation af Egregor-ransomware ved hjælp af LogPoint

Ved hjælp af MITRE ATT&CK-frameworket og LogPoint kan sikkerhedsteams identificere Egregor i alle faser af et angreb. Trusseljægere kan bruge nedenstående søgninger til at lede efter Egregors forskellige taktikker, teknikker og procedurer (TTP’er).

Vi kan søge efter den indledende infektionsfase ved at se på oprettelsen af kommandoprompt (T1059.003) eller PowerShell (T1059.001) fra Microsoft Office-produkter.

norm_id=WinServer label="Process" label=Createparent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"] "process" IN ["*\cmd.exe", "*\powershell.exe"]

Egregor-aktører slipper typisk batchfiler i mappen Temp. Vi råder systemadministratorer til at filtrere falske positiver fra, før der køres en søgning på tværs af virksomheden.

norm_id=WindowsSysmon label=File label=Create file="*.bat" path IN ["*\Desktop\*", "C:\Users\Public*", "*\AppData\Local\Temp*", "C:\ProgramData*", "C:\PerfLogs*"]

Egregor bruger Bitsadmin (T1197) til at downloade nyttedataene, som er nemme at finde.

norm_id=WinServer label="Process" label=Create "process"="*\bitsadmin.exe" command="* /transfer */download *.dll*"

Normalt navngiver Egregor-aktørerne deres nyttedata med et navn bestående af et enkelt bogstav, f.eks. q.dll eller b.dll. Vi kan udnytte denne adfærd til at søge efter enhver indsættelse af DLL’er, der har et filnavn bestående af et enkelt tegn, via Sysmons filoprettelseshændelser.

norm_id=WindowsSysmon label=File label=Create file="*.dll" | process count_char(file) as filename_length | search filename_length = 5

Ligesom andre ransomware-operatører bruger Egregor-operatører også ADFind til at indsamle Active Directory-oplysninger.

norm_id=WinServer label="Process" label=Create "process"="*.exe" command IN ['* -f *objectcategory=*', '* -sc trustdmp*']

Det er blevet konstateret, at Egregor-aktører bruger det populære open source-værktøj LaZagne til at dumpe legetimationsoplysninger (T1003.001) for at muliggøre lateral movement, hvilket vi kan registrere via Sysmons procesadgangshændelseslogge.

norm_id=WindowsSysmon label=Process label=Accesscall_trace="*C:\Windows\SYSTEM32\ntdll.dll+*|C:\Windows\System32\KERNELBASE.dll+*_ctypes.pyd+*python27.dll+*"

Egregor-aktører kører de primære nyttedata via rundll32 (T1218.011), hvor fælles argumenter er pasgregor og multiproc.

norm_id=WinServer label="Process" label=Create"process"="*\rundll32.exe" command IN ["*DllRegisterServer* --passegregor*", "*DllRegisterServer* -multiproc*"]

Nogle gange bruger Egregor-aktører adgangskoder som f.eks. pclassified13 til at dekryptere ransomware-nyttedata, hvilket vi kan holde øje med i procesoprettelseslogge.

norm_id=WinServer label="Process" label=Create command IN ["* -pclassified13 *", "* -passegr*", "* -pbiden*", "* -pass2police*", "* -peguard6*"]

Nogle gange bruger aktørerne også PsExec (T1570) til at bevæge sig lateralt over netværket, hvilket kan registreres via Windows-hændelseslogge.

norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file

Hvis aktørerne har ændret det standardservicenavn, der er oprettet af PsExec i skjul, kan vi i stedet bruge pipe events fra Sysmon.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"] | norm on pipe --<:word>-<:'stdin|stdout|stderr'> | chart count() by source_host

Se vores blog for at få flere oplysninger om søgning efter PsExec-artefakter i dit miljø. Aktører har også brugt WMI (T1047) til eksternt at køre DLL- nyttedataene, hvilket er nemt at registrere.

norm_id=WinServer label="Process" label=Create"process"="*\wmic.exe" command="*/node*process call create*"

Eftersom Egregor-aktører også kan bruge RDP (T1021.001) til lateral movement, er vi nødt til at overvåge for interne RDP-forbindelser.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 source_address IN HOMENET | chart count() by host, user, source_address

Endelig kan vi holde øje med alle RDP-forbindelser til kritiske værter som f.eks. DC eller filservere, som angriberne typisk foretager i løbet af livscyklussen for deres angreb.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 host IN CRITICAL_HOSTS | chart count() by host, user, source_address

Egregor-aktører har også forklædt hjælpeprogrammet RClone som den legitime svchost-proces (T1036.005).

norm_id=WinServer label="Process" label=Create "process"="*\svchost.exe" (-parent_image="*\services.exe" -command="* -k *") -parent_image="*\MsMpEng.exe"

Vi kan registrere udførelsen af den omdøbte binære Rclone-fil via Sysmons procesoprettelseshændelser.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

Egregor-aktører har også fundet ud af at bruge det populære Advanced Port Scanner-værktøj til portscanning (T1046) efter fjernværter i undernettet.

norm_id=WinServer label=”Process” label=Create (“process”=”*\AppData\Local\Temp\*\advanced_ip_scanner.exe” OR description=”Advanced IP Scanner”)

I nogle få tilfælde har angriberne anvendt cobalt-angreb for at hjælpe med at udføre taktikker, herunder rekognoscering og dumping af legitimationsoplysninger. En nem måde at registrere et cobalt-angreb på er ved at søge efter dets standard pipe-navne, som er vanskelige at ændre, hvorfor de fleste angribere ikke engang forsøger at ændre dem.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN [“\msagent_*”, “\MSSE-*-server”, “\postex_*”]

Discover the advantages of LogPoint’s SIEM solution

To learn more about the benefits of our SIEM product and the different options book a demo with us today.

Book a demo

Reducer risikoen for at blive angrebet ved at lære at være opmærksom på phishing 

Det vides endnu ikke, hvor meget de seneste arrester i forbindelse med Egregor har hæmmet den samlede aktivitet af ransomwaren. Ikke desto mindre bør virksomhedsforsvaret altid være parat til at opdage og afværge ethvert angreb i fremtiden. Eftersom phishing fortsat er den foretrukne infektionsvektor for ransomware, anbefaler vi virksomhederne, at de har et omfattende uddannelsesprogram i phishing, så medarbejderne kan lære at være opmærksomme på problemet.

Det er almindeligt, at ransomware-grupper indgår partnerskab med andre cyberkriminelle grupper, ofte kaldet “initial access brokers”. Disse initial access brokers giver ransomware-operatørerne direkte adgang til en række kompromitterede systemer. Brug af allerede kompromitterede systemer gør det muligt for ransomware-grupper nemt at få adgang til en organisations interne netværk, hvorfra de begynder at eskalere rettigheder, bevæge sig lateralt og til sidst udrulle ransomwaren.

Vi råder blå teams til regelmæssigt at teste og tilpasse deres identifikationer til forskellige ransomware-familier. Eftersom Egregors TTP’er overlapper med andre ransomware-familiers TTP’er, vil det hjælpe systemadministratorer, hvis de finjusterer og tester disse identifikationer i deres arsenal.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser