Qu’est ce qu’un Egregor ? À l’origine, le terme « égrégore » provient d’un concept ésotérique parfois repris dans le monde du management désignant « un esprit de groupe constitué par l'agrégation des intentions, des énergies et des désirs de plusieurs individus unis dans un but bien défini. » Le terme a donc été bien choisi pour designer ce nouveau groupe de cybercriminels, opérant sur le modèle du ransomware as a service, apparu au mois de septembre 2020. Le FBI a publié cette semaine une alerte concernant les attaques menées par ce groupe, tandis que l’Anssi a publié le mois dernier un rapport portant sur les activités du groupe.
Ransomware : un de perdu, dix de retrouvés
En l’espace de quelques mois, le groupe a su attirer beaucoup d’attention, en revendiquant sur ses différents sites web plus de 150 victimes, dont les sociétés Crytek et Ubisoft au mois d’octobre 2020. Dans son rapport, l’Anssi confirme « au moins 69 organisations ciblées» dont certaines entreprises françaises. L’apparition du groupe coïncide également avec la retraite du célèbre groupe Maze, qui a annoncé la fin de ses activités au début du mois de novembre 2020. Pour l’Anssi, « il est possible que la forte visibilité acquise par le groupe Maze ait contraint le groupe à mettre fin au projet. Une partie des membres aurait alors développé Sekhmet dans l’éventualité de la fermeture du projet Maze. Sekmhet ayant fait ses preuves, ce dernier serait devenu Egregor à la suite de cette fermeture. » Les nombreuses similarités techniques entre les trois ransomware sont un autre élément plaidant en la faveur de cette théorie.
Egregor n’innove pas profondément en matière de cybercriminalité : le FBI et l’Anssi s’accordent sur le fait que le modèle économique choisi par les opérateurs du groupe est celui d’un ransomware as a service, les développeurs du rançongiciel mettant leur logiciel malveillant à la disposition d’acteurs tiers (les affiliés) qui se chargent d’infiltrer les entreprises victimes et d’installer le logiciel.
Les vecteurs d’infections utilisés pour s’attaquer aux victimes sont peu connus selon l’Anssi, mais l’agence mentionne l’utilisation de campagne de phishing avec pièces jointes malveillantes ainsi que l’utilisation d’accès illégitimes via le protocole RDP. Le FBI évoque ces mêmes vecteurs, ainsi que les attaques visant des VPN, différents éléments devenus classiques dans l’arsenal des cybercriminels.
Une fois que les cybercriminels ont mis le pied dans le réseau de la victime, l’utilisation d’outils de test d’intrusion comme Cobalt Strike est attestée, ainsi que d’outils légitimes comme Psexec L’Anssi évoque également l’utilisation de Sharphound, un outil de mapping des réseaux internes, ainsi que l’outil de requêtes Active Directory AdFind. Le groupe a également eu recours à des logiciels malveillants connus : le cheval de troie bancaire Qakbot, ainsi que les chevaux de Troie Ursnif et IcedID. Ces différents outils sont utilisés par les attaquants pour se déplacer au sein du réseau compromis, élever leurs privilèges jusqu’à pouvoir déclencher le ransomware sur le réseau après avoir supprimé les sauvegardes accessibles sur le réseau. Les opérateurs sont également connus pour procéder à du vol de données avant de chiffrer les fichiers de la cible, une tactique également répandue au sein de ces groupes.
Préférences régionales
Le ransomware utilisé par Egregor utilise les algorithmes de chiffrement ChaCha et RSA 2048 bits pour chiffrer les fichiers de ces cibles, ce qui signifie que pour l’instant aucun moyen de décrypter les fichiers n’est connu (en dehors de la clef de déchiffrement détenue par les cybercriminels). L’Anssi indique néanmoins que le ransomware contient un mécanisme de détection de la langue du système d’exploitation : si le système est configuré en russe, ukrainien, arménien ou d’autres langues de pays appartenant à la CEI, le ransomware ne chiffrera pas les fichiers.
Le rapport de l’Agence se termine en rappelant les bonnes pratiques pour se protéger des attaques d’Egregor (mais celles ci sont valables pour à peu près tous les groupes de ransomware actuels) : disposer de sauvegardes à jour et déconnectées du réseau interne, appliquer les correctifs de sécurité (notamment sur les VPN), désactiver les macros des solutions bureautiques et être particulièrement vigilant sur les connexions RDP font partie des recommandations. Les recommandations du FBI sont du même ordre, invitant les entreprises à une vigilance particulière à l’égard des failles de sécurité récemment décelées dans le protocole RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019- 1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108).
Aucun commentaire:
Enregistrer un commentaire