“Sekhmet”勒索软件出现新变种“Egregor”

2020年12月15日，美国网络安全企业MalwareBytes公司发布报告称，发现名为“Egregor”的勒索软件可以利用渗透工具、钓鱼邮件和漏洞利用的方式进行传播，目的是窃取受害者数据，获取经济利益。该勒索软件采用双重勒索的方式，受害者需支付赎金才能获取数据，否则攻击者会公布其重要数据。 “Egregor”勒索软件最早出现于2020年9月，曾针对Barnes＆Noble（美国实体和网络书店）、Kmart（美国零售商）和Ubisoft（跨国游戏制作、发行、代销商）进行攻击。攻击者首先渗透进入受害者设备进行数据侦查，选择容易窃取数据且可能带来更多经济利益的目标进行攻击，然后在其网络中横向移动扩大攻击范围。攻击者会在“Egregor News”网站公布其窃取的部分非敏感数据，向受害者表示数据的真实性，然后要求受害者在3天内支付赎金，否则将会公布全部数据。在最新的一次攻击活动中，“Egregor”利用网络钓鱼邮件的方式攻击了世界著名猎头公司“Randstad”，窃取了该公司与美国、波兰、意大利和法国业务相关的重要数据。 “Egregor”勒索软件被认为是“Sekhmet”勒索软件的新变种，其调用的API和使用的勒索信与“Sekhmet”极为相似。“Egregor”采用勒索软件即服务（Raas）的方式运营，部分运营机构与“Maze”勒索软件（已停止运营）相同。因此判断“Maze”、 “Sekhmet”、“Egregor”可能属于同一勒索软件。 分析人员称，“Sekhmet”勒索软件在最近7周一直针对美国进行攻击，但“Egregor”勒索软件并不会针对特定地理位置的目标进行攻击，因此不排除其可能对我国用户进行攻击的可能性。建议我国用户采取以下措施予以防范，一是不轻易点击来历不明的电子邮件和附件；二是及时修复系统和应用程序漏洞，并更新到最新版本；三是不在可连接互联网的设备中存储和处理重要数据。