QakBot运营商放弃了针对Egregor勒索软件的ProLock

IB集团发现,QakBot(又名Qbot)运营商已将ProLock放弃用于Egregor勒索软件。自2020年9月以来,Egregor一直在积极分发,迄今已在16个国家/地区打击了至少69家大公司。 IB组团队发现的最大赎金需求是价值400万美元的BTC。

Egregor勒索软件

在最近的事件响应活动中,IB组DFIR(数字取证和事件响应)团队注意到QakBot操作员的策略发生了重大变化,该团伙开始部署新的Egregor勒索软件系列。

这种勒索软件压力在2020年9月出现,但背后的威胁参与者已经设法锁定了相当大的公司,例如游戏开发商Crytek,书商Barnes&来宝(Noble),最近是智利的零售巨头Cencosud。

ProLock = Egregor

对部署了Egregor的攻击的分析表明,威胁参与者使用的TTP与ProLock操作员使用的TTP几乎相同,ProLock操作员的活动已在5月的Group-IB博客文章中进行了描述。

首先,始终通过QakBot获得初始访问权限,而QakBot是通过模拟DocuSign加密的电子表格的恶意Microsoft Excel文档提供的。此外,Egregor运营商一直在使用Rclone进行数据渗透–与ProLock相同。

还使用了相同的工具和命名约定,例如md.exe,rdp.bat,svchost.exe。因此,考虑到以上所有因素,Group-IB专家估计QakBot运营商很可能已从ProLock转换为Egregor勒索软件。

地理和受害者

埃格里戈(Egregor)背后的帮派跟随了迷宫(Maze)的脚步,后者称不久前就退出了。 Egregor运营商利用恐吓策略,威胁要在其运营的泄漏站点上发布敏感信息,而不仅仅是加密受感染的网络。到目前为止,Group-IB团队记录的最大赎金需求是价值400万美元的BTC。

在不到3个月的时间里,Egregor运营商成功地成功打击了全球69家公司,其中有32个目标位于美国,法国和意大利分别为7个受害者,德国为6个,英国为4个。其他受害者恰好来自亚太地区,中东和拉丁美洲。 Egregor最喜欢的行业是制造业(受害者的28.9%)和零售业(14.5%)。

内白鹭

尽管Egregor运算符的TTP与ProLock的TTP几乎相同,但对最近事件响应约定期间获得的Egregor勒索软件样本的分析显示,Egregor的可执行代码与Sekhmet非常相似。两种菌株共有一些核心特征,使用类似的混淆技术。

Egregor源代码也与Maze勒索软件具有相似之处。最终有效负载的解密基于命令行提供的密码,因此,如果攻击者没有提供命令行参数,则无法分析Egregor。 Egregor运算符使用ChaCha8流密码和RSA-2048的组合进行文件加密。

“观察到的战术,技术和程序与过去Qakbot的“大型猎物”行动中观察到的非常相似,” 奥列格·斯科尔金(Oleg Skulkin),DFIR的高级分析师 IB组.

“同时,我们看到这些方法仍然非常有效,并且使威胁参与者能够以很高的成功率危害相当大的公司。需要注意的是,许多Maze合作伙伴开始迁移到Egregor的事实很可能会导致TTP发生变化,因此,防御者应专注于与Maze关联公司相关的已知方法。”

分享这个