Cos’è Egregor? Alla scoperta del noto ransomware

Nell’ultimo report Coveware sugli attacchi ransomware (approfondimento disponibile qui) abbiamo visto come, tra le minacce più riscontrate, stesse emergendo con forza Egregor. Nel solo Q4 del 2020, infatti, questo malware è stato riscontrato nel 12% dei casi finendo come new entry nella top 10.

Come funziona Egregor

Il nome Egregor, tra gli esperti di cybersecurity, è apparso per la prima volta intorno a settembre 2020, dopo una serie di attacchi piuttosto gravi che hanno ricordato un altro ransomware: Sekhmet. Quest’ultimo, sebbene sia stato apparentemente debellato ed abbia funzionato da vettore principalmente per attacchi di scarsa portata, ha molti tratti in comune con Egregor. Per qualche esperto di sicurezza, si potrebbe trattare anche di una sua evoluzione, ma non ci sono certezze al momento.

In realtà, gli esperti dicono anche che questo particolare ransomware sembra aver riunito dentro di sé molte delle peggiori caratteristiche di molte altre famiglie già note.

Sul suo modus operandi si può dire che, per fare breccia, Egregor utilizza i vettori più tipici come phishing, link malevoli e vulnerabilità di vario genere. Una volta che l’attacco ha avuto successo, come da prassi, il ransomware comincia a criptare i dati chiedendo poi un riscatto. Il problema, in questo caso, è che gli autori dell’attacco effettuano un doppio ricatto, ovvero quello di pubblicare i dati rubati in caso di mancato pagamento. Questa pubblicazione, però, non viene effettuata su siti pubblici bensì su dark web.

Una volta colpite, le vittime ricevono un messaggio in formato .txt in cui si fornisce un link al quale collegarsi tramite il browser Tor. Una volta entrati nel link, verrà visualizzata una pagina con le istruzioni per mettersi in contatto con gli hacker sulle modalità di riscatto (fare clic sull’immagine per ingrandire).

Una caratteristica ancor più pericolosa risiede invece nel fatto che questo malware non cripta soltanto dati ma anche alcune funzioni e file principali di Windows. Oltretutto, questo ransomware agisce in modo chirurgico per radicarsi più facilmente e più a lungo nei sistemi dei bersagli, inclusa la pratica di cancellazione dei backup effettuati.

Pagare o non pagare?

In molti casi, le vittime si sono ritrovate a dover cedere al ricatto pagando la cifra in Bitcoin richiesta dagli attaccanti. Tra i bersagli colpiti ci sono anche nomi importanti come Ubisoft e Randstad, ma purtroppo si sa poco sulla cifra da essi pagata e sull’efficacia della decisione di cedere al ricatto. La cosa migliore da fare, come sempre, è dotarsi di policy stringenti sulla sicurezza per evitare di essere colpiti. Le best practice sono sempre le stesse, ma vale la pena ribadirle.

Ancor prima dei backup, che come abbiamo visto vengono messi nel mirino da Egregor, è importante utilizzare autenticazioni a due fattori (2FA Authentication) per i propri sistemi, non aprire link sospetti nelle mail, evitare le Wi-Fi pubbliche ed aggiornare costantemente i propri sistemi di sicurezza.

Una buona notizia

Per una volta è possibile aggiungere una nota positiva parlando di un virus particolarmente pericoloso. Pare infatti che nei giorni scorsi sia stata smantellata una fitta rete di hacker dedita proprio alla diffusione di Egregor. Questo è stato possibile grazie ad un’operazione congiunta tra le autorità francesi e quelle ucraine che, seguendo il flusso di pagamento di un riscatto, sono riuscite a risalire alla posizione dei criminali. Essendo considerato un RaaS (Ransomware-as-a-Service), Egregor non viene veicolato da piccoli gruppi di hacker, bensì da un’organizzazione strutturata che crea una vera e propria piattaforma.

In questo schema ci sono i proprietari della piattaforma stessa e tutta una serie di altri attori che diffondono il ransomware facendogli fare breccia nei sistemi delle vittime. Successivamente, i proprietari della piattaforma incassano i Bitcoin del riscatto e li ridistribuiscono in percentuale.

L’operazione di polizia è riuscita ad interrompere proprio questa catena criminale arginando la rete di hacker che, nel periodo di maggiore diffusione di Egregor, ha dovuto persino creare una waitlist alle vittime perché non era in grado di seguire le richieste di riscatto per tutte le vittime.

 

Fonti: 1, 2, 3, 4