美国联邦调查局(FBI)昨(7)日发出公告,要企业当心勒索软件Egregor正在网络扩散以入侵企业网络。
Egregor是在去年Maze宣布退出江湖后,接手其攻击程序等资产而兴起。FBI发出的TLP:White“私人企业通知”(Private Industry Notification,PIN)指出,从2020年9月FBI首度观测到Egregor以来,全球已经有超过150家企业遭到Egregor变种攻击的消息。
FBI观测到Egregor是一种“勒索软件即服务”的服务模式,供歹徒订阅发动攻击。Egregor使用多种不同机制黑入企业,包括发送具恶意附件的钓鱼信件到员工个人账号,或是开采远程桌面协议(RDP)或VPN漏洞黑入企业网络。而进入公司网络后,攻击者也可能利用Egregor的RDP开采能力。
当Egregor成功访问企业网络后,会使用常见的渗透测试法及工具,像是CobaltStrike、Qakbot/Qbot、IP扫描工具和AdFind等,以扩张权限并在内部网络横向移动。加密企业重要文件的同时,Egregor也会利用同步软件Rclone及7zip等工具,有时也会伪装成svchost行程将资料窃取发送出去。而且它还经常利用受害者机器的打印功能,把勒索消息打印出来。
FBI要求,企业不论拒绝或同意支付赎金,都务必通报警方。FBI也提供了防范Egregor的指引,包括修补对外的远程访问应用的相关漏洞,尤其是RDP漏洞,包括CVE-2020-0609、CVE-2020-0610、CVE-2020-16896、CVE-2019- 1489、CVE-2019-1225、CVE-2019-1224、CVE-2019-1108。
此外,企业除了资料备份、定期更新杀毒软件、要求员工不得点击来路不明的邮件附件或连接等基本知识外,IT管理员也应限制RDP访问权限,并检查公司网络上是否有可疑的.bat、dll档,.log档,或是对外连接程序等。