La stratégie de « double rançon » du groupe derrière le ransomware Egregor remet en question la défense des entreprises. Retour sur une menace bien réelle et sur des pistes de réflexions pour s'en protéger.
Egregor est spécialisé dans les attaques de ransomwares et est actuellement l'une des organisations à la croissance la plus rapide. Selon Insikt Group de Recorded Future, son nom est emprunté au monde mystérieux, signifiant «l'énergie collective d'un groupe de personnes, surtout lorsqu'elles travaillent vers un objectif commun». Bien que la description des logiciels malveillants varie d'une entreprise de sécurité à l'autre, tout le monde convient qu'Egregor est une variante de la série de ransomwares Sekhmet. Ce dernier est apparu en septembre 2020, lorsque le Labyrinth Group a annoncé son intention de mettre fin à ses activités.
Un expert de la double extorsion
Comme la plupart des variantes de ransomwares activement utilisées aujourd'hui, Egregor utilise le «double chantage» pour faire pression sur les victimes pour qu'elles paient la rançon, les menaçant d'exposer la demande de rançon au «mur de la honte», c'est-à-dire de la publier sur Internet. Données volées. Les victimes les plus célèbres d'Egregor sont Kmart, Metro Vancouver, Barnes and Noble, les développeurs de jeux vidéo Ubisoft et Crytek, la société néerlandaise de ressources humaines Randstad et, plus récemment, la mairie de La Rochelle. Certaines des données volées ont été mises en ligne…
Comme de nombreux cybercriminels sur Internet, pendant la crise du coronavirus, les attaquants d'Egregor ont également ciblé les établissements médicaux et les hôpitaux comme des cibles faciles pour la prédation. C'est le cas de GBMC Healthcare, un fournisseur de soins de santé américain basé au Maryland, qui a été infecté début décembre 2020. En raison de l'attaque du ransomware Egregor, l'entreprise a dû suspendre certaines de ses activités. La société a déclaré qu'elle avait pris de fortes mesures de protection, mais qu'elle était toujours obligée de reporter certaines interventions non urgentes.
La garantie de la sauvegarde n’est pas suffisante
« Si vous avez de bonnes sauvegardes hors ligne fonctionnelles, la situation est beaucoup moins grave si vous êtes victime d’un logiciel de rançon », a-t-elle ajouté. « L’impact commercial et le temps d’arrêt de l’activité ne sont pas nuls, mais vous avez déjà intégré cela dans votre plan de reprise basé sur ces sauvegardes ». Des groupes comme Egregor « ont compris le principe ». Ils disent aux victimes : « Nous avons déjà volé vos données, alors vous devez nous payer pour cela ». Ou alors, ils menacent de les rendre publiques et de ruiner ou du moins de nuire à la réputation de l’entreprise. « Un tel argument fait que la garantie de la sauvegarde, qui a fonctionné pendant si longtemps, n’est plus suffisante », a déclaré Jen Miller-Osborn. « C’est la tactique qu’avait employé le groupe Maze, et Egregor fait la même chose ».
Vigilance accrue sur le phishing
Comme Maze, Egregor est également vendu en tant que ransomware en tant que service (RaaS), ce qui signifie que les groupes de cybercriminalité vendent ou louent leurs logiciels malveillants à d'autres. But malveillant. Plusieurs branches de labyrinthe ont été remplacées par Egregor. Miller-Osborn a ajouté: "Donc, en termes de popularité et de rentabilité, le ransomware Egregor remplacera Maze jusqu'à ce qu'un autre acteur plus créatif propose une variante plus créative d'Egregor.", a encore déclaré Miller-Osborn : "Des mesures de protection plus strictes peuvent aider les entreprises à se protéger de la double rançon d'Egregor." En général, les attaques de ransomwares ne sont pas particulièrement compliquées.
Egregor est spécialisé dans les attaques de ransomwares et est actuellement l'une des organisations à la croissance la plus rapide. Selon Insikt Group de Recorded Future, son nom est emprunté au monde mystérieux, signifiant «l'énergie collective d'un groupe de personnes, surtout lorsqu'elles travaillent vers un objectif commun». Bien que la description des logiciels malveillants varie d'une entreprise de sécurité à l'autre, tout le monde convient qu'Egregor est une variante de la série de ransomwares Sekhmet. Ce dernier est apparu en septembre 2020, lorsque le Labyrinth Group a annoncé son intention de mettre fin à ses activités.
Un expert de la double extorsion
Comme la plupart des variantes de ransomwares activement utilisées aujourd'hui, Egregor utilise le «double chantage» pour faire pression sur les victimes pour qu'elles paient la rançon, les menaçant d'exposer la demande de rançon au «mur de la honte», c'est-à-dire de la publier sur Internet. Données volées. Les victimes les plus célèbres d'Egregor sont Kmart, Metro Vancouver, Barnes and Noble, les développeurs de jeux vidéo Ubisoft et Crytek, la société néerlandaise de ressources humaines Randstad et, plus récemment, la mairie de La Rochelle. Certaines des données volées ont été mises en ligne…
Comme de nombreux cybercriminels sur Internet, pendant la crise du coronavirus, les attaquants d'Egregor ont également ciblé les établissements médicaux et les hôpitaux comme des cibles faciles pour la prédation. C'est le cas de GBMC Healthcare, un fournisseur de soins de santé américain basé au Maryland, qui a été infecté début décembre 2020. En raison de l'attaque du ransomware Egregor, l'entreprise a dû suspendre certaines de ses activités. La société a déclaré qu'elle avait pris de fortes mesures de protection, mais qu'elle était toujours obligée de reporter certaines interventions non urgentes.
La garantie de la sauvegarde n’est pas suffisante
« Si vous avez de bonnes sauvegardes hors ligne fonctionnelles, la situation est beaucoup moins grave si vous êtes victime d’un logiciel de rançon », a-t-elle ajouté. « L’impact commercial et le temps d’arrêt de l’activité ne sont pas nuls, mais vous avez déjà intégré cela dans votre plan de reprise basé sur ces sauvegardes ». Des groupes comme Egregor « ont compris le principe ». Ils disent aux victimes : « Nous avons déjà volé vos données, alors vous devez nous payer pour cela ». Ou alors, ils menacent de les rendre publiques et de ruiner ou du moins de nuire à la réputation de l’entreprise. « Un tel argument fait que la garantie de la sauvegarde, qui a fonctionné pendant si longtemps, n’est plus suffisante », a déclaré Jen Miller-Osborn. « C’est la tactique qu’avait employé le groupe Maze, et Egregor fait la même chose ».
Vigilance accrue sur le phishing
Comme Maze, Egregor est également vendu en tant que ransomware en tant que service (RaaS), ce qui signifie que les groupes de cybercriminalité vendent ou louent leurs logiciels malveillants à d'autres. But malveillant. Plusieurs branches de labyrinthe ont été remplacées par Egregor. Miller-Osborn a ajouté: "Donc, en termes de popularité et de rentabilité, le ransomware Egregor remplacera Maze jusqu'à ce qu'un autre acteur plus créatif propose une variante plus créative d'Egregor.", a encore déclaré Miller-Osborn : "Des mesures de protection plus strictes peuvent aider les entreprises à se protéger de la double rançon d'Egregor." En général, les attaques de ransomwares ne sont pas particulièrement compliquées.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
