Spécialisé dans les attaques de ransomware, le groupe Egregor est actuellement l'un de ceux qui connait la plus forte expansion. Selon l’Insikt Group de Recorded Future, son nom, emprunté au monde occulte, désigne « l'énergie collective d'un groupe de personnes, en particulier quand elles visent un objectif commun ». Même si les descriptions du malware divergent d'une entreprise de sécurité à l'autre, toutes s’accordent à dire qu’Egregor est une variante de la famille du ransomware Sekhmet. Ce dernier est apparu en septembre 2020, au moment où le gang Maze a fait part de son intention de mettre fin à ses activités.
Cependant, il semble que les membres du groupe Maze ont rejoint Egregor sans hésiter. Unit 42, l’équipe de sécurité de Palo Alto Networks et Insikt, pense qu'Egregor est associé à des logiciels malveillants de base comme Qakbot, dont l'importance s’est affirmée en 2007, qui utilise un ver sophistiqué et évasif pour voler des informations financières, mais aussi à d'autres logiciels malveillants disponibles sur le marché comme IcedID et Ursnif. Ces malwares aident les attaquants à obtenir un accès initial aux systèmes des victimes. Tous les chercheurs en sécurité semblent être d'accord avec l'équipe Nocturnus de Cybereason pour dire qu'Egregor représente une menace de gravité élevée et qu’il se développe rapidement. Selon Shadows, le gang a fait au moins 71 victimes dans 19 secteurs différents partout dans le monde.
Un expert de la double extorsion
Comme la plupart des variantes de ransomware activement exploitées aujourd’hui, Egregor a recours à la « double extorsion », pour faire pression sur les victimes et les obliger à payer la rançon, il les menace, soit de rendre publique la demande de rançon sur un « Mur de la Honte », soit de publier les données volées sur Internet. Parmi les victimes les plus connues d'Egregor figurent Kmart, le métro de Vancouver, Barnes and Noble, les développeurs de jeux vidéo Ubisoft et Crytek, et la société néerlandaise de ressources humaines Randstad, et plus récemment la mairie de la Rochelle dont une partie des données volées ont été publiées sur le web.
Comme de nombreux cybercriminels du web, les attaquants d'Egregor ont également ciblé les établissements de santé et les hôpitaux, identifiés comme des proies faciles, pendant la crise de coronavirus. C’est le cas du prestataire de soins de santé américain basé dans le Maryland, GBMC Healthcare, touché début décembre 2020, qui a dû suspendre quelques-unes de ses activités en raison d'une attaque par le ransomware Egregor. L'entreprise a déclaré avoir mis en place des protections solides, mais elle a néanmoins été contrainte de reporter certaines interventions non urgentes.
La garantie de la sauvegarde n’est pas suffisante
La double extorsion, ou double rançon, caractéristique de ce nouveau type de ransomware, remet en question la défense mise en place par la plupart des entreprises, à savoir s’appuyer sur des sauvegardes robustes en cas de chiffrage des fichiers par des attaquants. « Egregor a fait son apparition il y a quelques mois, mais c’est surtout au mois de septembre que le groupe a commencé à mener ses attaques partout dans le monde, à peu près au moment où le groupe Maze a annoncé la fin de ses activités », a expliqué Jen Miller-Osborn, directrice adjointe du renseignement sur les menaces pour l’Unit 42 de Palo Alto Networks.
« Si vous avez de bonnes sauvegardes hors ligne fonctionnelles, la situation est beaucoup moins grave si vous êtes victime d’un logiciel de rançon », a-t-elle ajouté. « L’impact commercial et le temps d’arrêt de l’activité ne sont pas nuls, mais vous avez déjà intégré cela dans votre plan de reprise basé sur ces sauvegardes ». Des groupes comme Egregor « ont compris le principe ». Ils disent aux victimes : « Nous avons déjà volé vos données, alors vous devez nous payer pour cela ». Ou alors, ils menacent de les rendre publiques et de ruiner ou du moins de nuire à la réputation de l’entreprise. « Un tel argument fait que la garantie de la sauvegarde, qui a fonctionné pendant si longtemps, n’est plus suffisante », a encore déclaré Jen Miller-Osborn. « C’est la tactique qu’avait employé le groupe Maze, et Egregor fait la même chose ».
Vigilance accrue sur le phishing
Á l’instar de Maze, Egregor est vendu comme ransomware en tant que service (RaaS), c’est-à-dire que le groupe de cybercriminel vend ou loue son malware à d'autres personnes pour qu'elles l'utilisent à des fins malveillantes. Plusieurs affiliés de Maze sont passées à Egregor. « Il semble donc que, en termes de popularité et de rentabilité, le ransomware Egregor va succéder à Maze jusqu'à ce qu’un autre acteur plus inventif propose une variante plus créative d’Egregor », a ajouté Jen Miller-Osborn. « Des protections plus fortes peuvent aider les entreprises à se protéger contre la double rançon d'Egregor », a aussi déclaré Mme Miller-Osborn. « En général, une attaque par ramsomware n’est pas particulièrement compliquée.
Dans la plupart des cas, ce type de malware n’est pas du genre furtif ». Beaucoup d'infections par ransomware se produisent à la suite d’attaques de phishing. « C'est sans conteste le vecteur d'infection le plus courant ». Une meilleure protection et une meilleure sensibilisation en matière de phishing pourraient donc être utiles. « Restez vigilant quand vous ouvrez vos e-mails, ne cliquez pas sur n’importe quel lien. C'est le genre de conseil que l’on répète constamment, mais c'est la chose la plus simple que l’on puisse faire pour éviter une attaque par ransomware ».
Sanctuariser les données sensibles
« Les entreprises peuvent également prendre d’autres mesures en interne, notamment conserver leurs données les plus sensibles dans des enclaves », a aussi expliqué Jen Miller-Osborn. « En gros, il s’agit d’éviter les topologies de réseau plates et d’identifier les données les plus sensibles ou celles dont la perte pourrait être le plus préjudiciable à l’entreprise ». Concernant les données les plus sensibles, « les entreprises devraient prévoir un indicateur supplémentaire, avec des contrôles de sécurité de plus haut niveau que ceux qu’elles pourraient utiliser pour d'autres parties du réseau », a-t-elle recommandé. « De toute évidence, tout cela coûte de l'argent et n'est pas anodin ».
Toute entreprise devrait avoir aussi à l’esprit que ses données hautement sensibles peuvent être également la cible de pirates parrainés par un concurrent potentiel ou soutenus par un État, donc investir dans la protection de ce type de données est aussi recommandé. « Les données sensibles recherchées et exfiltrées par des acteurs de la rançon sont souvent les mêmes que celles que pourraient cibler des espions », a déclaré Miller-Osborn. « C’est donc important que ces données soient mieux protégées et plus difficiles d'accès », a-t-elle ajouté. « Une meilleure sensibilisation et une protection accrue du réseau permet de stopper et de bloquer les logiciels de rançon », a affirmé Mme Miller-Osborn. « Il suffit pour cela d'avoir les bons composants de sécurité, de bien les configurer et qu’ils soient placés aux bons endroits. C'est une question de conception de posture de sécurité ».
Garder un oeil sur la vie des groupes
En ce qui concerne le lien entre Egregor et le groupe Maze, « il n’y a pas de preuve irréfutable d’une connexion entre les deux groupes, mais beaucoup de petits indices nous font croire que ce sont les mêmes personnes », a encore déclaré Jen Miller-Osborn. Il n’est pas rare dans le monde des logiciels malveillants qu’un individu ou un groupe prétende mettre fin à ses activités et de le voir réapparaître ensuite sous un nouveau nom, alors que c'est toujours la ou les mêmes personnes. « Leur motivation, c’est qu’à un moment donné, ils sont trop visibles, il y a trop d’articles de presse sur eux, et il y a aussi trop de forces de l'ordre qui les recherchent », a-t-elle expliqué.
« Tout ce qu'ils essaient de faire, c'est de prendre leur distance avec cette famille précédente, pour quelque raison que ce soit ». Malheureusement, ce nouveau type de ransomware inauguré par Egregor est très préjudiciable, et cela ne s'achèvera pas de sitôt. « Ça va continuer et de plus en plus d'acteurs, surtout du côté des criminels, vont commencer à profiter de la situation, car ils savent potentiellement qu’ils peuvent gagner beaucoup d'argent avec ces malwares ».