Egregor a été détecté pour la première fois en septembre 2020, il fonctionne sous le modèle Ransomware as-a-service (Raas). Issu de la famille ransomware Sekhmet, il est considéré comme le successeur de Maze et utilise les mêmes techniques de chiffrement à savoir Chacha et RSA (2048 bits) pour chiffrer les fichiers des victimes.
Egregor, se propage via des campagnes de phishing avec des pièces jointes malveillantes, il utilise aussi des accès illégitimes via le protocole RDP.
Les cybercriminels ont également recours à des logiciels malveillants comme le cheval de Troie bancaire Qakbot et les chevaux de Troie Ursnif et IcedID. L’utilisation de ces outils malveillants permet aux attaquants de se déplacer latéralement au sein du réseau compromis, de voler les données avant de chiffrer les fichiers de leurs cibles et d’élever leurs privilèges afin de propager le ransomware sur le réseau.
Les bonnes pratiques pour se protéger d’Egregor :
– Disposer des dernières mises à jour et de se déconnecter du réseau interne.
– Appliquer les correctifs de sécurité (notamment sur les concentrateurs VPN).
– Désactiver les macros des solutions bureautiques qui permettent d’effectuer des tâches de manière automatisée.
– Surveillé le nombre, la provenance et les horaires de connexions RDP (en tout état de cause ne pas exposer les services de bureau à distance sur des réseaux publics, sans une sécurité très renforcée).
Pour plus d’informations sur le ransomware :
https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-012/
[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.