מערך הסייבר הלאומי: כופרת Egregor החלה לפעול מאמצע ספטמבר 2020
מאת: מערכת
Telecom News , 8.12.20, 10:36
לאחרונה דווחו מספר תקיפות כנגד ארגונים באמצעות הכופרה. סקירת הכופרה ודרכי הפעולה של התוקפים. איך מתמודדים?
כופרת
Egregor זוהתה כפעילה החל מאמצע חודש ספטמבר 2020.
הכופרה שויכה ע"י גורמים שונים לקבוצות הקשורות לכופרות
Sekhmet, maze, ProLock ו-
LockBit.
שיטת הפעולה המקובלת של הקבוצה, שמפעילה כופרה זו, היא תקיפת ארגונים, גניבת מידע רגיש והצפנתו, ודרישת דמי כופר עבור פענוח הקבצים המוצפנים. בדומה לקבוצות כופרה אחרות, התוקפים, שמאחורי כופרת
Egregor, מאיימים בפרסום המידע שנגנב אם הארגון הנתקף לא יעמוד בדרישות הכופר.
וקטור התקיפה הראשוני הוא בד"כ תקיפת עמדות הנגישות לגישה מרחוק באמצעות
RDP, או מתקפת דיוג (
Phishing). דווחו (ללא אימות) גם דרכי תקיפה נוספות כגון ניצול פגיעות בשרת
Exchange (CVE-2020-0688), ופגיעויות ישנות ב-
VBScript וב-
Adobe Flash.
מרגע שנוצלה פגיעות ראשונית והתוקף השיג אחיזה, דרך ההפצה העיקרית של כופרה זו ברשת הארגונית היא באמצעות הכלי
Cobalt Strike, שמשמש להפצה והפעלה של הכופרה בעמדות השונות.
נצפה שימוש של התוקפים בכלים המובנים במערכת ההפעלה לעדכון רכיבים שונים בכופרה. להרחבה אודות טכניקה זו (המכונה
Living off the Land) ראו
התרעה שפורסמה על-ידי מערך הסייבר הלאומי.
כופרה זו מזוהה עם מתקפות, שבוצעו נגד
GEFCO, Barnes & Noble, Ubisoft, המטרו של ונקובר וארגונים נוספים.
דווח, שמשפחות נוזקות ידועות כדוגמת
QBot מפיצות לאחרונה את כופרת
Egregor כחלק מהקמפיינים שלהן.
הכופרה עצמה מעורפלת באופן כבד כדי להקשות על ניתוחה. נעשה שימוש בהצפנה מסוג
Salsa20 להצפנת קובץ התצורה. הצפנת קבצי המשתמש מבוצעת באמצעות
ChaCha Stream Cipher ו-
RSA.
טעינת קבצי
DLL לכופרה מחייבת שימוש במפתח, שייחודי לכל דגימה שזוהתה.
השיטה העיקרית של הוצאת המידע מחוץ לרשת הארגונית היא באמצעות תוכנה חינמית בשם
Rclone, שמשמשת לניהול אחסון מרחוק. הכופרה משתמשת בעותק של התוכנה הכולל קובץ תצורה ייחודי, לשליטה על תהליך זה.
התוקפים מפעילים בלוג בו הם נוהגים לאיים על הקורבנות ולפרסם את המידע של אלה מהם שלא עמדו בדרישות הכופר. נכון ל-24.11.20, רשימת הקורבנות כוללת 152 ארגונים מתעשיות שונות ברחבי העולם, ובעיקר מהתחומים: שירותי וטכנולוגיות מידע, בנייה, קמעונאות, מוצרי צריכה ותעשיית הרכב.
דרכי התמודדות:
מומלץ לוודא, שלפחות עותק אחד של גיבויים ארגוניים נשמר באופן שאינו מקוון (
Offline), כדי למנוע מתוקפים פגיעה בכל עותקי הגיבוי.
מומלץ לקיים הדרכות מודעות לעובדים בנושא כופרה, לוודא, שהם מודעים לסיכון, ומכירים את הנהלים לפעולה במקרה של זיהוי כופרה בארגון.
מומלץ לוודא בהקדם האפשרי בחינה והתקנת העדכון לפגיעות
ZeroLogon בארגון. ראו
התרעת מערך הסייבר הלאומי בנושא.
מומלץ לא לחשוף ישירות לרשת האינטרנט עמדות המפעילות תוכנת
RDP ודומיה. אם קיים צורך עסקי בגישה מרחוק, מומלץ לבצעו באמצעות שירות
VPN עם הצפנה מתאימה והזדהות חזקה.
ראו
מדריך שפורסם ע"י מערך הסייבר הלאומי הכולל המלצות למניעה ולהתמודדות עם מקרי הדבקה בכופרה.