che danni fa e come difendersi


egregor

Egregor è una delle famiglie di ransomware in più rapida crescita. Il suo nome deriva dal mondo occulto ed è definito come “l’energia collettiva di un gruppo di persone con un obiettivo comune”, secondo Insikt Group di Recorded Future e si tratta di una variante della famiglia di ransomware Sekhmet. Il ransomware Egregor è nato a settembre 2020, nello stesso momento in cui il gruppo di hacker Maze annunciava la sua intenzione di chiudere le operazioni. Gli affiliati che facevano parte del gruppo Maze sembrano, tuttavia, essere passati in massa a Egregor.

Insikt e Palo Alto Networks ritengono che Egregor sia associato a malware comuni come Qakbot, diventato famoso nel 2007 e che utilizza un worm sofisticato ed evasivo per rubare credenziali finanziarie, nonché altri malware pronti all’uso come IcedID e Ursnif. Questi malware aiutano gli aggressori ad ottenere l’accesso iniziale ai sistemi delle vittime. Tutti i ricercatori sulla sicurezza sembrano concordare con il team Nocturnus di Cybereason sul fatto che Egregor sia una minaccia emergente e ad alta gravità. Secondo la società di sicurezza Digital Shadows, Egregor ha fatto almeno 71 vittime in 19 diversi settori in tutto il mondo.

La doppia estorsione di Egregor minaccia le difese tradizionali

Come la maggior parte delle attuali varianti di ransomware utilizzate in natura, Egregor utilizza la “doppia estorsione” basandosi su una Hall of Shame o dati rubati e pubblicamente accessibili per spingere le vittime a pagare il riscatto. Tra le vittime di alto profilo di Egregor ci sono Kmart, il sistema metropolitano di Vancouver, Barnes and Noble, gli sviluppatori di videogiochi Ubisoft e Crytek e l’azienda olandese di risorse umane Randstad da cui gli aggressori hanno rubato dati, una parte dei quali sono stati pubblicati sul web .

adv

Come molti altri criminali di Internet, negli ultimi mesi il gruppo di Egregor ha preso di mira anche le strutture sanitarie e gli ospedali. Un fornitore di assistenza sanitaria che ha dovuto ridurre alcune funzioni a causa di un attacco ransomware Egregor è stato GBMC Healthcare nel Maryland, colpito all’inizio di dicembre 2020. L’azienda ha affermato di disporre di solide protezioni, ma è stata comunque costretta a posticipare alcune procedure elettive.

La doppia estorsione, o doppio riscatto, caratterizza questa nuova generazione di ransomware, minando la difesa precedente che la maggior parte delle aziende potrebbe implementare, ovvero mantenere solidi backup se gli aggressori crittografano i file. Egregor “è emerso solo un paio di mesi fa e soprattutto a settembre, quando ha iniziato a colpire in tutto il mondo” ha dichiarato Jen Miller-Osborn, vicedirettore dell’intelligence sulle minacce della Unite 42 di Palo Alto Networks.

backup

“Se disponete di buoni backup offline e siete colpiti da un ransomware, non è un grosso problema. Dovete subire quasi sicuramente un periodo di inattività e altre “scocciature”, ma con i backup alle spalle potete stare relativamente tranquilli”. Peccato che un ransomware come Egregor vada oltre una semplice formula di attacco-riscatto.

La doppia estorsione consiste nel fatto che gli attaccanti, se non riescono a ottenere il riscatto per decriptare i dati, minacciano di pubblicare questi stessi dati pubblicamente, il che può portare a un effetto devastante per l’azienda colpita. In questo caso avere un backup dei dati, per quanto sicurissimo ed efficiente, non servirebbe a nulla, perché in ogni caso gli aggressori hanno una seconda arma (altrettanto “letale”) per ottenere un riscatto.

Come difendersi da Egregor

Quando si tratta di avere a che fare con un ransomware come Egregor, una protezione più forte può certamente aiutare. Molte infezioni ransomware derivano dal phishing, che rimane senza dubbio il vettore di infezione più comune; ecco perché una migliore protezione e formazione sul phishing potrebbero aiutare. “Fate attenzione ad aprire quelle email e a fare clic su questi collegamenti. È lo stesso genere di cose che diciamo costantemente, ma è anche la cosa più semplice che si possa fare per evitare un attacco ransomware”, continua la Miller-Osborn.

“Internamente ci sono alcune cose che le aziende possono fare per mantenere i loro dati più sensibili al sicuro, come ad esempio considerare di avere un sensore aggiuntivo per controlli di sicurezza di livello superiore rispetto a quelli che potreste avere per altre parti della rete. Ovviamente, tutto ciò costa denaro e non è un’aggiunta banale.”

I dati altamente sensibili di qualsiasi organizzazione saranno probabilmente anche l’obiettivo di minacce di spionaggio sponsorizzate da altre aziende rivali o dallo stato e quindi investire nella protezione di questo tipo informazioni è un’altra ottima idea. “Gli stessi dati che gli aggressori stanno potenzialmente cercando e che esfiltrano tramite ransomware possono essere gli stessi a cui sarebbe interessata una minaccia motivata dallo spionaggio. Quindi avere anche solo quei dati protetti meglio è certamente positivo.”

Con maggiore protezione della rete, è possibile arrestare e bloccare il ransomware. “Si tratta solo di avere i giusti componenti di sicurezza configurati correttamente e nei posti giusti. È tutta una questione di progettazione di sicurezza.”

Sfortunatamente questa nuova era di ransomware altamente dannoso, caratterizzata dall’ascesa di Egregor, non finirà presto. “Continuerà e penso che vedremo sempre più attori, specialmente dal lato criminale, che inizieranno a trarne vantaggio visto quanti soldi possono potenzialmente guadagnare facendolo.”

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!



Source link