Av Bhabesh Raj Rai, Associate Security Analytics Engineer

Egregor, en variant av utpressningstrojanen Sekhmet, är fortfarande en av de mest aktiva och aggressiva varianterna av utpressningstrojaner under det senaste året och anses vara efterträdaren till utpressningstrojanen Maze. Group-IB, Insikt och Palo Alto Networks har självständigt dragit slutsatsen att Egregor är förknippat med ”commodity malware” som Qakbot, IcedID och Ursnif för att få initial åtkomst till offrens system.

Egregor gjorde sin debut i mitten av september 2020, samtidigt som utpressningstrojanen Maze gick i pension. Under denna korta tid har Egregor lyckats kompromettera ett stort antal offer över hela världen. Bland offren finns välkända företag som Kmart, Ubisoft, Crytek och Randstad. Toppen i Egregors aktivitet indikerar att Maze-medlemmarna snabbt övergick Egregor utan problem.

Egregor-attacker kännetecknas av en effektiv dubbel utpressningsmetod

Egregor följer samma Ransomware-as-a-service-modell (RaaS) som andra populära varianter av utpressningstrojaner, inklusive Ryuk och Maze. Med RaaS abonnerar cyberbrottslingar på Egregor, vilket gör det möjligt även för nybörjare att starta komplexa utpressningsattacker. En annan anledning till att Egregor sprider sig snabbt är den mycket effektiva dubbelutpressningstaktiken, där cyberbrottslingarna komprometterar känsliga data, krypterar dem för att förhindra åtkomst för offren och sedan publicerar en del av de komprometterade uppgifterna som bevis på exfiltreringen. Dubbelutpressning sätter maximal press på offren att betala lösensumman – och det fungerar. Arete IR konstaterar att Egregors genomsnittliga lösensumma är 3 407 119 dollar, med ett genomsnittligt driftstopp på 12 dagar. 

Egregors medbrottslingar är välkända för sin förhandlingsstil. De illasinnade aktörerna ger sina offer en ultimatum: de kommer att läcka data inom 72 timmar om de inte får svar efter att offrens system krypterats. Liksom Maze och Ryuk fokuserar Egregor på stora mål och riktar sig till stora företag på grund av deras förmåga att betala en hög lösensumma, vilket resulterar i stora ekonomiska vinster.

En typisk Egregor-attack innebär att ett skadligt makroaktiverat Microsoft Office-dokument bifogas i ett nätfiske-mail som den initiala infektionsvektorn. När dokumentet öppnas kan det skadliga makrot ladda ner kommersiell skadlig programvara som Qakbot eller IcedID. Den nedladdade skadliga programvaran börjar sedan rekognosera värden och nätverket och samlar in inloggningsuppgifter som används för lateral förflyttning. Den skadliga programvaran använder antingen PsExec eller WMI för lateral förflyttning. I vissa fall har även Egregor-aktörer installerat Cobalt Strike. Nära slutet av infektionscykeln laddar den skadliga programvaran vanligtvis ner en batchfil och en zip-fil. Zip-filen innehåller verktyget RClone med konfigurationsfiler för att exfiltrera data till molnlagringstjänster som DropBox eller OneDrive. Batchfilen innehåller ett kommando som laddar ner och exekverar Egregor DLL via rundll32.

I februari 2021 ledde en gemensam undersökning mellan den franska och ukrainska polisen till häktningen av ett antal Egregor RaaS-kunder. Myndigheterna tror dock att inga av de häktade brottslingarna tillhör driftteamet bakom Egregor. Vi kan anta att häktningen innebär inte en permanent nedstängning av utpressningstrojaner i Egregor-familjen. 

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Snabbfakta om Egregor

• Aktiv sedan mitten av september 2020
• Förlitar sig på RaaS-modellen för att spridas snabbt
• Aggressiv dubbelutpressningstaktik leder till enorma ekonomiska vinster
• Förlitar sig på nätfiske för initial infektion
• Den genomsnittliga lösensumman är över 3 miljoner dollar med driftstopp på 12 dagar

Identifiera Egregor utpressningstrojaner med hjälp av LogPoint

Med hjälp av MITRE ATT&CK-ramverket och LogPoint kan säkerhetsteam identifiera Egregor under de olika stegen i en attack. Frågesatserna nedan kan användas för söka efter Egregors olika taktiker, tekniker och procedurer (TTP:er).

Vi kan söka efter det initiala åtkomstvektorn genom att titta på generering av kommandotolken (T1059.003) eller PowerShell (T1059.001) från Microsoft Office-produkter.

norm_id=WinServer label="Process" label=Createparent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"] "process" IN ["*\cmd.exe", "*\powershell.exe"]

Egregor-aktörer laddar ofta upp batchfiler i tempkatalogen. Vi rekommenderar att systemadministratörer filtrerar bort falska positiver innan de gör en företagsomfattande sökning.

norm_id=WindowsSysmon label=File label=Create file="*.bat" path IN ["*\Desktop\*", "C:\Users\Public*", "*\AppData\Local\Temp*", "C:\ProgramData*", "C:\PerfLogs*"]

Egregor använder Bitsadmin (T1197) för att ladda ner nyttolasten, som är lätt att detektera.

norm_id=WinServer label="Process" label=Create "process"="*\bitsadmin.exe" command="* /transfer */download *.dll*"

Vanligtvis döper Egregor-aktörerna sin nyttolast med en bokstav som q.dll eller b.dll. Vi kan utnyttja det här beteendet för att söka efter alla typer av DLL-filer som har ett filnamn med ett enda tecken via filskapande händelser i Sysmon.

norm_id=WindowsSysmon label=File label=Create file="*.dll" | process count_char(file) as filename_length | search filename_length = 5

Liksom andra operatörer av utpressningstrojaner använder Egregor-operatörer även ADFind för att samla in Active Directory-information.

norm_id=WinServer label="Process" label=Create "process"="*.exe" command IN ['* -f *objectcategory=*', '* -sc trustdmp*']

Man har funnit att Egregor-aktörer använder det populära open-source-verktyget LaZagne för att dumpa autentiseringsuppgifter (T1003.001) för att underlätta lateral förflyttning, vilket vi kan detektera via Sysmons Process Access-händelseloggar.

norm_id=WindowsSysmon label=Process label=Accesscall_trace="*C:\Windows\SYSTEM32\ntdll.dll+*|C:\Windows\System32\KERNELBASE.dll+*_ctypes.pyd+*python27.dll+*"

Egregor-aktörer exekverar den huvudsakliga nyttolasten via rundll32 (T1218.011) med den vanliga argumenten är passegregor och multiproc.

norm_id=WinServer label="Process" label=Create"process"="*\rundll32.exe" command IN ["*DllRegisterServer* --passegregor*", "*DllRegisterServer* -multiproc*"]

Ibland använder Egregor-aktörer lösenord som pclassified13 för att dekryptera utpressningstrojanens nyttolast, vilket vi kan hålla utkik efter i processkapningsloggarna.

norm_id=WinServer label="Process" label=Create command IN ["* -pclassified13 *", "* -passegr*", "* -pbiden*", "* -pass2police*", "* -peguard6*"]

Ibland använder även aktörerna PsExec (T1570) för lateral förflyttning i nätverket, vilket kan detekteras via händelseloggarna i Windows.

norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file

Om aktörerna har ändrat standardnamnet på tjänsten som skapas av PsExec för att undvika upptäckt, kan vi använda pipe-händelser från Sysmon istället.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"] | norm on pipe --<:word>-<:'stdin|stdout|stderr'> | chart count() by source_host

Se vår blogg för mer information om hur du söker efter PsExec-artefakter i din miljö. Aktörer har också använt WMI (T1047) för att fjärrexekvera DLL-nyttolasten, vilket är lätt att detektera.

norm_id=WinServer label="Process" label=Create"process"="*\wmic.exe" command="*/node*process call create*"

Eftersom Egregor-aktörer även kan använda RDP (T1021.001) för lateral förflyttning behöver vi övervaka interna RDP-anslutningar.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 source_address IN HOMENET | chart count() by host, user, source_address

Slutligen kan vi hålla utkik efter RDP-anslutningar till kritiska värdar som DC- eller filservrar, vilket angriparna vanligtvis gör under attackens livscykel.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 host IN CRITICAL_HOSTS | chart count() by host, user, source_address

Egregor-aktörer har också förtäckt RClone-verktyget som den legitima svchost-processen (T1036.005).

norm_id=WinServer label="Process" label=Create "process"="*\svchost.exe" (-parent_image="*\services.exe" -command="* -k *") -parent_image="*\MsMpEng.exe"

Vi kan identifiera exekvering av en omdöpt RClone binärfil via processkapande händelser i Sysmon.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

Egregor-aktörer har också visat sig använda det populära verktyget Advanced Port Scanner för portskanning (T1046) av fjärrvärdar i subnätet.

norm_id=WinServer label="Process" label=Create ("process"="*\AppData\Local\Temp\*\advanced_ip_scanner.exe" OR description="Advanced IP Scanner")

I några få fall har angripare använt Cobalt Strike för att hjälpa till att genomföra taktiker som reconnaissance och dumpning av autentiseringsuppgifter. Ett enkelt sätt att identifiera Cobalt Strike är att söka efter dess standard pipe-namn, som är svåra att ändra så att de flesta angripare inte ens anstränger sig för att ändra på dem.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["\msagent_*", "\MSSE-*-server", "\postex_*"]

Discover the advantages of LogPoint’s SIEM solution

To learn more about the benefits of our SIEM product and the different options book a demo with us today.

Book a demo

Minska risken för kompromisser med utbildning i medvetenhet om nätfiske 

Det är fortfarande okänt hur mycket de senaste häktningarna kopplade till Egregor har hämmat den övergripande aktiviteten hos denna utpressningstrojan. Trots detta bör IT-avdelningen alltid vara redo att identifiera och stopp eventuella framtida intrång. Eftersom nätfiske fortfarande är den vanligaste infektionsvektorn för utpressningstrojaner råder vi företag att upprätta ett omfattande utbildningsprogram för att öka medvetenheten om nätfiske (s.k. phishing) för sina medarbetare.

Det är vanligt att grupper som använder utpressningstrojaner att inleda samarbete med andra cyberkriminella grupper, även kallade ”initial access brokers”. Dessa Initial access broker-grupper erbjuder operatörerna av utpressningstrojaner direktåtkomst till ett antal komprometterade system. Genom att använda redan komprometterade system kan utpressningsgrupperna enkelt få tillgång till organisationens interna nätverk, varifrån de börjar eskalera behörigheter, förflyttar sig lateralt och slutligen aktiverar utpressningstrojanen.

Vi rekommenderar säkerhetsteam att regelbundet testa och finjustera sina identifieringsverktyg för olika varianter av utpressningstrojaner. Eftersom Egregors TTP:er överlappar andra varianter av utpressningstrojaner hjälper det systemadministratörer att finjustera och testa dessa identifieringsverktyg i deras arsenal.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews