Par Bhabesh Raj Rai, Associate Security Analytics Engineer

Egregor, une variante de la famille de ransomware Sekhmet, fait partie d’une catégorie très active et agressive rencontrée au cours de l’année passée et est clairement considéré comme le successeur du ransomware Maze. Group-IB, Insikt et Palo Alto Networks sont parvenus de manière indépendante à la conclusion que le ransomware Egregor était associé à des malwares courants tels que Qakbot, IcedID et Ursnif pour obtenir un accès initial aux systèmes des victimes.

Le ransomware Egregor est apparu à la mi-septembre 2020, au moment où Maze annonçait publiquement son retrait. Pendant cette courte période, Egregor a réussi à compromettre un grand nombre de victimes à travers le monde. Ces dernières comprenaient des entreprises de premier plan comme Kmart, Ubisoft, Crytek et Randstad. Le pic d’activité de ce nouveau ransomware indique que les acteurs malveillants affiliés à Maze sont rapidement passés à Egregor sans aucun problème.

Les attaques du ransomware Egregor utilisent des méthodes efficaces de double extorsion

Le ransomware Egregor suit le même modèle de Ransomware-as-a-Service (RaaS) que les autres types de ransomware populaires, notamment Ryuk et Maze. Avec l’approche RaaS, les cybercriminels s’abonnent pour utiliser Egregor, lequel permet même aux pirates peu expérimentés de lancer des attaques de ransomware complexes. Une autre raison expliquant la propagation rapide du ransomware Egregor est la tactique très efficace de double extorsion, avec laquelle les cybercriminels récupèrent des données sensibles, les chiffrent pour empêcher aux victimes d’y accéder, puis publient une partie des données compromises comme preuve de l’exfiltration. La double extorsion exerce une pression très forte sur les victimes pour les inciter à payer la rançon et cette stratégie fonctionne. Arete IR note que la demande de rançon moyenne émise par le ransomware Egregor est de 3 407 119 dollars (soit environ 2 797 391 euros), avec un temps d’arrêt moyen des activités de 12 jours.

Les affiliés au ransomware Egregor sont réputés pour leur style de négociation. En effet, les acteurs malveillants lancent un ultimatum à leurs victimes : à savoir qu’ils divulgueront les données dans les 72 heures s’ils ne reçoivent pas de réponse suite au chiffrement des systèmes de la victime en question. Comme Maze et Ryuk, Egregor se focalise sur le « Big-Game Hunting » et cible les grandes entreprises en raison de leur capacité à payer une rançon élevée, se traduisant ainsi par des gains substantiels.

Une attaque du ransomware Egregor classique implique un document Microsoft Office malveillant contenant des macros attaché à un email de phishing en tant que vecteur d’infection initial. Lors de l’ouverture du document, la macro malveillante peut télécharger des malwares courants tels que Qakbot ou IcedID. Le malware téléchargé lancera alors une phase de reconnaissance au niveau de l’hôte et du réseau et collectera les identifiants à utiliser pour les mouvements latéraux, au cours desquels il pourra aussi utiliser PsExec ou WMI. Dans certains cas, les acteurs d’Egregor ont également déployé cobalt strike. Vers la fin du cycle d’infection, le malware téléchargera généralement un fichier batch et zip. Le fichier zip contient l’outil RClone avec ses fichiers de configuration pour l’exfiltration de données vers des sites d’hébergement de fichiers Cloud tels que DropBox ou OneDrive. Le fichier batch contient, quant à lui, une commande pour télécharger et exécuter la DLL Egregor via rundll32.

En février 2021, une investigation conjointe entre les polices française et ukrainienne a conduit à l’arrestation de certains clients d’Egregor RaaS. Cependant, les autorités estiment qu’aucun des cybercriminels arrêtés n’appartient à l’équipe opérationnelle d’Egregor. Nous pouvons supposer que cette arrestation ne signifie pas un blocage permanent de la famille de ransomware Egregor.

Ransomware Egregor : les principaux faits marquants

• Il est actif depuis mi-septembre 2020.
• Il s’appuie sur le modèle RaaS pour se propager rapidement.
• Sa tactique agressive de double extorsion se traduit par d’énormes gains.
• Il se base sur le phishing pour l’infection initiale.
• La rançon moyenne est de plus de 3 millions de dollars (environ 2,5 millions d’euros) avec un temps d’arrêt des activités de 12 jours.

Détection du ransomware Egregor avec LogPoint

En utilisant le framework MITRE ATT&CK et LogPoint, les blue teams peuvent détecter le ransomware Egregor lors des différentes étapes d’une attaque. Les traqueurs de menaces peuvent utiliser les requêtes ci-dessous pour rechercher les différentes Tactiques, Techniques et Procédures (TTP) utilisées par Egregor.
Nous pouvons rechercher le vecteur d’accès initial en examinant l’apparition de l’invite de commande (T1059.003) ou du PowerShell (T1059.001) au niveau des produits Microsoft Office.

norm_id=WinServer label="Process" label=Create parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"] "process" IN ["*\cmd.exe", "*\powershell.exe"]

Les acteurs qui utilisent le ransomware Egregor déposent généralement les fichiers batch dans le répertoire temp. Nous conseillons aux administrateurs système de filtrer tous les faux positifs avant d’exécuter une recherche à l’échelle de l’entreprise.

norm_id=WindowsSysmon label=File label=Create file="*.bat" path IN ["*\Desktop\*", "C:\Users\Public*", "*\AppData\Local\Temp*", "C:\ProgramData*", "C:\PerfLogs*"]

Egregor utilise Bitsadmin (T1197) pour télécharger la charge virale, ce qui est simple à détecter.

norm_id=WinServer label="Process" label=Create "process"="*\bitsadmin.exe" command="* /transfer */download *.dll*"

Habituellement, les acteurs malveillants nomment leur charge virale avec un nom composé d’un seul caractère tel que q.dll ou b.dll. Nous pouvons exploiter ce comportement pour rechercher toute suppression de DLL qui a un nom de fichier à un seul caractère via les événements de création de fichier de Sysmon.

norm_id=WindowsSysmon label=File label=Create file="*.dll" | process count_char(file) as filename_length | search filename_length = 5

Comme les autres opérateurs de ransomware, ceux exploitant Egregor utilisent également ADFind pour collecter des informations au niveau d’Active Directory.

norm_id=WinServer label="Process" label=Create "process"="*.exe" command IN ['* -f *objectcategory=*', '* -sc trustdmp*']

Il a été constaté que les acteurs, exploitant Egregor, utilisaient l’outil open source populaire LaZagne pour récupérer les identifiants (T1003.001) et faciliter ainsi les mouvements latéraux, lequel peut être détecté via les logs d’événements de type Process Access au niveau de Sysmon.

norm_id=WindowsSysmon label=Process label=Access call_trace="*C:\Windows\SYSTEM32\ntdll.dll+*|C:\Windows\System32\KERNELBASE.dll+*_ctypes.pyd+*python27.dll+*"

Les acteurs utilisant Egregor exécutent alors la charge virale principale via rundll32 (T1218.011) avec les arguments communs suivants : passegregor et multiproc.

norm_id=WinServer label="Process" label=Create "process"="*\rundll32.exe" command IN ["*DllRegisterServer* --passegregor*", "*DllRegisterServer* -multiproc*"]

Parfois, ces derniers utilisent des mots de passe tels que pclassified13 pour déchiffrer la charge virale du ransomware, lesquels peuvent être recherchés dans les logs de création de processus.

norm_id=WinServer label="Process" label=Create command IN ["* -pclassified13 *", "* -passegr*", "* -pbiden*", "* -pass2police*", "* -peguard6*"]

D’autres fois, les acteurs utilisent également PsExec (T1570) pour se déplacer latéralement sur le réseau, lequel peut être détecté via les logs d’événements Windows.

norm_id=WinServer event_id=4697 service=PSEXESVC | chart count() by host, user, service, file

Même si les acteurs malveillants ont changé le nom de service par défaut créé par PsExec pour ne pas être repérés, nous pouvons utiliser les événements pipe de Sysmon à la place.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"] | norm on pipe -<source_host:word>-<:word>-<:'stdin|stdout|stderr'> | chart count() by source_host

Consultez notre blog pour obtenir plus d’informations sur la traque des artefacts PsExec au sein de votre environnement. Les acteurs ont également utilisé WMI (T1 047) pour exécuter à distance la charge virale de la DLL, ce qui est facile à détecter.

norm_id=WinServer label="Process" label=Create "process"="*\wmic.exe" command="*/node*process call create*"

Puisque les acteurs exploitant le ransomware Egregor peuvent également utiliser le RDP (T1021.001) pour les mouvements latéraux, nous devons surveiller les connexions RDP internes.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 source_address IN HOMENET | chart count() by host, user, source_address

Enfin, nous pouvons rechercher toutes les connexions RDP aux hôtes critiques tels que les contrôleurs de domaine ou les serveurs de fichiers, lesquelles sont des techniques fréquemment utilisées par les attaquants au cours du cycle de développement de leur attaque.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 host IN CRITICAL_HOSTS | chart count() by host, user, source_address

Les acteurs ont également transformé l’utilitaire RClone en processus svchost légitime (T1036.005).

norm_id=WinServer label="Process" label=Create "process"="*\svchost.exe" (-parent_image="*\services.exe" -command="* -k *") -parent_image="*\MsMpEng.exe"

Nous pouvons détecter l’exécution du binaire Rclone renommé via les événements de création de processus de Sysmon.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

Il a également été constaté que les acteurs malveillants utilisaient l’outil populaire Advanced Port Scanner pour analyser les ports au niveau des hôtes distants (T1046) dans le sous-réseau.

norm_id=WinServer label="Process" label=Create ("process"="*\AppData\Local\Temp\*\advanced_ip_scanner.exe" OR description="Advanced IP Scanner")

Dans quelques cas, les attaquants ont déployé cobalt strike pour aider à exécuter des tactiques telles que la reconnaissance et la récupération d’identifiants. Un moyen simple de détecter cobalt strike est de rechercher ses noms pipe par défaut, qui sont difficiles à changer, de sorte que la plupart des attaquants ne font même pas d’efforts pour les modifier.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["\msagent_*", "\MSSE-*-server", "\postex_*"]

Réduisez vos risques d’être victime d’une compromission grâce à notre formation de sensibilisation au phishing

On ne sait toujours pas si les récentes arrestations liées au ransomware Egregor ont impacté l’activité globale de ce dernier. Néanmoins, les défenseurs des entreprises doivent toujours être prêts à détecter et à empêcher d’éventuelles compromissions futures. Le phishing restant le vecteur d’infection préféré des ransomwares, nous conseillons aux entreprises de mettre en place un programme complet de formation qui permettra de sensibiliser leurs employés au phishing.

De plus, il est courant que les groupes de ransomwares établissent un partenariat avec d’autres groupes cybercriminels, communément appelés « initial access brokers ». Ces groupes fournissent alors aux opérateurs de ransomwares un accès direct à toute une gamme de systèmes compromis. L’accès direct permet aux groupes de ransomwares d’accéder facilement aux réseaux internes d’une entreprise, à partir desquels ils élèvent leurs privilèges, se déplacent latéralement et déploient enfin le ransomware.

Nous conseillons aux blue teams de tester et d’ajuster régulièrement leurs détections concernant les différentes familles de ransomwares. Étant donné que les TTP utilisées par le ransomware Egregor se recoupent avec celles exploitées par d’autres familles, cette approche aidera les administrateurs système à ajuster et tester ces détections au niveau de leur arsenal de défense.