美國聯邦調查局(FBI)昨(7)日發出公告,要企業當心勒索軟體Egregor正在網路擴散以入侵企業網路。

Egregor是在去年Maze宣佈退出江湖後,接手其攻擊程式等資產而興起。FBI發出的TLP:White「私人企業通知」(Private Industry Notification,PIN)指出,從2020年9月FBI首度觀測到Egregor以來,全球已經有超過150家企業遭到Egregor變種攻擊的消息。

FBI觀測到Egregor是一種「勒索軟體即服務」的服務模式,供歹徒訂閱發動攻擊。Egregor使用多種不同機制駭入企業,包括發送具惡意附件的釣魚信件到員工個人帳號,或是開採遠端桌面協定(RDP)或VPN漏洞駭入企業網路。而進入公司網路後,攻擊者也可能利用Egregor的RDP開採能力。

當Egregor成功存取企業網路後,會使用常見的滲透測試法及工具,像是CobaltStrike、Qakbot/Qbot、IP 掃瞄工具和AdFind等,以擴張權限並在內部網路橫向移動。加密企業重要檔案的同時,Egregor也會利用同步軟體Rclone及7zip等工具,有時也會偽裝成svchost行程將資料竊取傳送出去。而且它還經常利用受害者機器的列印功能,把勒索訊息列印出來。

FBI要求,企業不論拒絕或同意支付贖金,都務必通報警方。FBI也提供了防範Egregor的指引,包括修補對外的遠端存取應用的相關漏洞,尤其是RDP漏洞,包括CVE-2020-0609、CVE-2020-0610、CVE-2020-16896、 CVE-2019-1489、CVE-2019-1225、CVE-2019-1224、CVE-2019-1108。

此外,企業除了資料備份、定期更新防毒軟體、要求員工不得點選來路不明的郵件附件或連結等基本知識外,IT管理員也應限制RDP存取權限,並檢查公司網路上是否有可疑的.bat、dll檔,.log檔,或是對外連線程式等。

熱門新聞

Advertisement