FBI เตือน กลุ่มธุรกิจภาคเอกชนทั่วโลกระวัง Egregor Ransomware

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกมาเตือน หลังจากพบว่ามี Egregor Ransomware ที่เริ่มถูกจับตามองตั้งแต่ในช่วงเดือนกันยายน 2020 ที่ผ่านมา (ซึ่งเป็นช่วงหลังจากที่ Maze ransomware ประกาศหยุดให้บริการ) การที่ Egregor เป็น ransomware-as-a-service (RaaS) นั้นจะส่งผลให้เทคนิคการล่อลวง และขั้นตอนการปล่อย Ransomware ตัวนี้ค่อนข้างจะหลากหลาย แต่มักจะเริ่มต้นด้วยการส่ง Phishing email ที่แนบ malicious file เพื่อติดตั้งลงที่เครื่องของเหยื่อเพื่อขโมยข้อมูล credentials ต่าง ๆ จากนั้นจะใช้ Remote Desktop Protocol(RDP) หรือ Virtual Private Networks (VPN) เพื่อเข้าถึงระบบเครือข่าย นอกจากนี้ยังมีรายงานว่า Egregor ใช้ Cobalt Strike, Qakbot/Qbot, Advanced IP Scanner และ AdFind เพื่อยกระดับสิทธิ์และการโจมตีอีกด้วย

ในส่วนของการแฝงตัวในเครือข่าย Egregor มักจะใช้ Service Host Process (svchost) เพื่อคัดลอกข้อมูล หลีกเลี่ยงการตรวจจับบนเครือข่ายของเหยื่อ และ ส่งข้อมูลเหล่านั้นไปยัง C&C server จากนั้นจึงทำการเข้ารหัสเครื่องของเหยื่อ ซึ่งเมื่อไม่กี่วันที่ผ่านมา Egregor ได้ออกมาประกาศว่ามีผู้ตกเป็นเหยื่อแล้วมากกว่า 150 รายในช่วงไม่กี่เดือน และ ส่วนมากมักเป็นองค์กรเอกชนที่มีชื่อเสียงทั่วโลก

ข้อมูลจาก :
https://www.bleepingcomputer.com/news/security/fbi-warns-of-egregor-ransomware-extorting-businesses-worldwide/
https://otx.alienvault.com/pulse/5fb02790e147dbd83e3a779d