Новая программа-вымогатель Egregor следует по стопам группировки Maze

Эксперты безопасности предупреждают, что новая группа вымогателей быстро увеличивает свою активность, удвоив свои атаки на десятки жертв.

Группа Egregor широкую известность получила после атаки на Barnes & Noble и разработчиков видеоигр Ubisoft и Crytek в октябре, согласно Digital Shadows.

На самом деле группа активна с сентября, когда она скомпрометировала 15 жертв. Далее их число увеличилось на 250% – 51 компания подверглась атакам. К 17 ноября появились еще 21 пострадавший.

По словам офицеров безопасности, большое количество жертв является производителями промышленных товаров или услуг (38%), и подавляющее большинство из них – американские (83%).

В программу-вымогателя вшита функция анти-анализа – обфускация кода и пакет полезной нагрузки.

«Программные интерфейсы приложений (APIs) Windows используются, чтобы зашифровать данные полезной нагрузки. Пока команда безопасности не предоставит правильный аргумент командной строки, данные не будут расшифрованы, следовательно, программа-вымогатель не будет проанализирована», - добавляет Digital Shadows.

«Когда параметры командной строки верные, малварь проникает в процесс iexplore.exe и шифрует там все текстовые файлы и документы, затем оставляет послание о выкупе в каждой папке, где есть зашифрованный документ. Этот процесс включает также файлы на удаленных рабочих станциях и серверах через проверку журналов событий LogMeIn».

Как и многие другие группировки, у участников Egregor есть сайт, на котором они выкладывают украденные данные своих жертв, чтобы принудить сделать оплату. С этой точки зрения они следуют по стопам группы Maze, которая проводила атаки в октябре.

Например, они выложили 200МВ данных со внутриигровых активах Ubisoft и утверждали, что у них есть код из еще невыпущенного издания Watchdogs: Legion. У Crytek злоумышленники украли 400МВ данных об Warface и Arena of Fate.