Ransomware Egregor

Egregor a été détecté pour la première fois en septembre 2020, il fonctionne sous le modèle Ransomware as-a-service (Raas). Issu de la famille ransomware Sekhmet, il est considéré comme le successeur de Maze et utilise les mêmes techniques de chiffrement à savoir Chacha et RSA (2048 bits) pour chiffrer les fichiers des victimes.

Egregor, se propage via des campagnes de phishing avec des pièces jointes malveillantes, il utilise aussi des accès illégitimes via le protocole RDP.

Les cybercriminels ont également recours à des logiciels malveillants comme le cheval de Troie bancaire Qakbot et les chevaux de Troie Ursnif et IcedID. L’utilisation de ces outils malveillants permet aux attaquants de se déplacer latéralement au sein du réseau compromis, de voler les données avant de chiffrer les fichiers de leurs cibles et d’élever leurs privilèges afin de propager le ransomware sur le réseau.

Les bonnes pratiques pour se protéger d’Egregor :

–   Disposer des dernières mises à jour et de se déconnecter du réseau interne.

–   Appliquer les correctifs de sécurité (notamment sur les concentrateurs VPN).

–      Désactiver les macros des solutions bureautiques qui permettent d’effectuer des tâches de manière automatisée.

–   Surveillé  le nombre, la provenance et les horaires de  connexions RDP (en tout état de cause  ne pas exposer les services de bureau à distance sur des réseaux publics, sans une sécurité très renforcée).

Pour plus d’informations sur le ransomware :

https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-012/

https://www.trendmicro.com/en_us/research/20/l/egregor-ransomware-launches-string-of-high-profile-attacks-to-en.html


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.