Le Federal Bureau of Investigation (FBI) des États-Unis a envoyé une alerte de sécurité avertissant les entreprises du secteur privé que l’opération de rançongiciel Egregor cible et extorque activement les entreprises du monde entier.

Le FBI a déclaré dans un TLP: WHITE Private Industry Notification (PIN) partagé mercredi qu’Egregor prétend avoir déjà frappé et compromis plus de 150 victimes depuis que l’agence a observé cette activité malveillante pour la première fois en septembre 2020.

«En raison du grand nombre d’acteurs impliqués dans le déploiement d’Egregor, les tactiques, techniques et procédures (TTP) utilisées dans son déploiement peuvent varier considérablement, créant des défis importants pour la défense et l’atténuation», déclare le service américain de renseignement et de sécurité.

«Le ransomware Egregor utilise plusieurs mécanismes pour compromettre les réseaux d’entreprise, notamment en ciblant le réseau d’entreprise et les comptes personnels des employés qui partagent l’accès avec les réseaux ou les appareils professionnels.

Les e-mails de phishing avec des pièces jointes malveillantes et un protocole RDP (Remote Desktop Protocol) non sécurisé ou des réseaux privés virtuels sont quelques-uns des vecteurs d’attaque utilisés par les acteurs d’Egregor pour accéder et se déplacer latéralement au sein des réseaux de leurs victimes.

Egregor utilise Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner et AdFind pour l’élévation des privilèges et le mouvement latéral du réseau.

Les affiliés utilisent également 7zip et Rclone, parfois camouflés en tant que processus de processus hôte de service (svchost), pour l’exfiltration des données avant de déployer les charges utiles du ransomware sur le réseau des victimes.

Le FBI a également partagé une liste de mesures d’atténuation recommandées qui devraient aider à se défendre contre les attaques d’Egregor:

• Sauvegardez les données critiques hors ligne.
• Assurez-vous que les copies des données critiques se trouvent dans le cloud ou sur un disque dur externe ou un périphérique de stockage.
• Sécurisez vos sauvegardes et assurez-vous que les données ne sont pas accessibles pour modification ou suppression du système où les données résident.
• Installer et mettre à jour régulièrement un antivirus ou un anti-malware …