Nowy ransomware Egregor - jak działa?
Egregor to jedna z najszybciej rozwijających się rodzin ransomware. Ransomware powstał we wrześniu 2020 r., za Egregorem stoi najprawdopodobniej ten sam gang co za ransomware Maze, który w ubiegłym roku skutecznie zaszyfrował pliki takich firm jak Mattel, Canon, LG czy Xerox. Egregor jest powiązany ze złośliwym oprogramowaniem Qakbot, które zyskało popularność w 2007 r. i wykorzystuje wyrafinowanego robaka pozwalającego na unikanie zabezpieczeń w celu kradzieży danych uwierzytelniających. Według Digital Shadows, od września 2020 r. Egregor pochłonął co najmniej 71 ofiar w 19 różnych branżach na całym świecie.
Podwójne wymuszenia Egregora podważają tradycyjną obronę przed ransomware
Gang stojący za ransomware Egregor stosuje technikę podwójnego wymuszenia, grożąc utratą reputacji zwiększa presję na zapłatę okupu. Eksperci z zakresu cyberbezpieczeństwa nie mają wątpliwości – atakujący zrobią wszystko, aby zmusić ofiary do zapłacenia okupu. Najczęściej oszuści grożą udostępnieniem skradzionych danych lub atakiem DDoS. Wśród ofiar ransomware Egregor są Kmart (system metra w Vancouver), Barnes and Noble, Ubisoft i Crytek oraz holenderska firma HR Randstad, z której napastnicy wykradli dane, z których część opublikowali w sieci. Podobnie jak wielu przestępców internetowych, gang uznał za atrakcyjny cel placówki opieki zdrowotnej i szpitale. Jedną z jednostek opieki zdrowotnej, która musiała ograniczyć niektóre funkcje z powodu ataku ransomware Egregor, była GBMC Healthcare w stanie Maryland, która została zaatakowana na początku grudnia 2020 r.
Dlaczego nawet najlepszy backup nie uchroni Twojej firmy przed konsekwencjami ataku ransomware?
Niestety nawet tworzenie najsolidniejszych kopii zapasowych offline nie uchroni nas przed groźbą opublikowania wykradzionych danych. Dotychczas dobry backup dostatecznie zabezpieczał organizację przed zaszyfrowaniem plików, a sam atak potencjalnie groził tylko niewielkim przestojem firmy. Niestety gangi ransomware wciąż udoskonalają swoje działania i mają świadomość, że backup należy do podstawowych zabezpieczeń niemal każdej firmy, stąd szantażują publikacją naszych wrażliwych danych. Nie chcesz zapłacić okupu atakującym? Zrujnują Twój biznes poprzez atak DDos, publikację firmowych danych w internecie, uderzając w ten sposób w wizerunek Twojego biznesu licząc, że tym samym stracisz klientów i kontrahentów.
Ile kosztuje ransomware?
Podobnie jak w przypadku Maze, Egregor jest sprzedawany jako ransomware-as-a-service (RaaS), a gang sprzedaje go lub wypożycza innym osobom. W Darknecie ceny gotowych do wykorzystania RaaS wahają się od kilkudziesięciu do nawet kilku tysięcy dolarów, jednak zyski z tego procederu są znacznie wyższe. W 2019 r. ransomware wyrządził szkody na 11,5 miliarda dolarów, czyli średni jednostkowy koszt poniesiony przez firmę zaatakowaną w ten sposób wynosił 133 tysiące dolarów. Szybki i tani zysk sprawia, że w 2021 r. firmy będą atakowane oprogramowaniem ransomware co 11 sekund…
Jak bronić się przed ransomware?
Większość infekcji ransomware pochodzi z phishingu, tak więc zwiększenie bezpieczeństwa firmowej skrzynki e-mail i świadomości naszych pracowników o możliwych zagrożeniach powinno być priorytetowym zadaniem każdego Działu IT. Szukasz skutecznego szkolenia w zakresie phishingu? Napisz do nas, nasi inżynierowie stworzyli dedykowane szkolenie dla pracowników spoza IT. A my wciąż będziemy powtarzać, nie otwieraj podejrzanych wiadomości e-mail, nie klikaj hiperłączy zawartych w wiadomościach od nieznanych adresatów, to może kosztować Twoją firmę tysiące złotych.
Obrona przed ransomware. CylancePROTECT - antywirus na ransomware
Zwiększ swoją ochronę za pomocą innowacyjnego oprogramowania antywirusowego CylancePROTECT. Jesteś ciekaw, w jaki sposób ten antywirus blokuje oprogramowanie ransomware? Już 27 stycznia 2021 r. zapraszamy na webinar, podczas którego nasz inżynier przeprowadzi symulowany atak ransomware – a Wy dowiecie się jak w praktyce wygląda taki atak oraz jak go skutecznie zablokować. Nie czekaj, zapisz się już dziś.
Pamiętaj! W przypadku najbardziej wrażliwych danych organizacje powinny rozważyć posiadanie dodatkowego czujnika ze specjalnymi zabezpieczeniami wyższego poziomu niż w przypadku pozostałych części sieci. Im trudniejszy dostęp do naszych danych, dzięki zwiększonej ochronie sieci i szkoleniom, tym większa szansa, że oprogramowanie ransomware zostanie zatrzymane przed wyrządzeniem Twojej firmie nieodwracalnych szkód.
