Эксперты безопасности предупреждают, что новая группа вымогателей быстро увеличивает свою активность, удвоив свои атаки на десятки жертв.

Группа Egregor широкую известность получила после атаки на Barnes & Noble и разработчиков видеоигр Ubisoft и Crytek в октябре, согласно Digital Shadows.

На самом деле группа активна с сентября, когда она скомпрометировала 15 жертв. Далее их число увеличилось на 250% – 51 компания подверглась атакам. К 17 ноября появились еще 21 пострадавший.

По словам офицеров безопасности, большое количество жертв является производителями промышленных товаров или услуг (38%), и подавляющее большинство из них – американские (83%).

В программу-вымогателя вшита функция анти-анализа – обфускация кода и пакет полезной нагрузки.

«Программные интерфейсы приложений (APIs) Windows используются, чтобы зашифровать данные полезной нагрузки. Пока команда безопасности не предоставит правильный аргумент командной строки, данные не будут расшифрованы, следовательно, программа-вымогатель не будет проанализирована», — добавляет Digital Shadows.

«Когда параметры командной строки верные, малварь проникает в процесс iexplore.exe и шифрует там все текстовые файлы и документы, затем оставляет послание о выкупе в каждой папке, где есть зашифрованный документ. Этот процесс включает также файлы на удаленных рабочих станциях и серверах через проверку журналов событий LogMeIn».

Как и многие другие группировки, у участников Egregor есть сайт, на котором они выкладывают украденные данные своих жертв, чтобы принудить сделать оплату. С этой точки зрения они следуют по стопам группы Maze, которая проводила атаки в октябре.

Например, они выложили 200МВ данных со внутриигровых активах Ubisoft и утверждали, что у них есть код из еще невыпущенного издания Watchdogs: Legion. У Crytek злоумышленники украли 400МВ данных об Warface и Arena of Fate.

Источник: secure news