ブログ - Egegor(えぐれがー)
ホンダを襲った?とされるランサムウェアのMazeの変化版が,流行りだしているそうだ.
テクニカルな部分の分析記事.
Maze ランサムウェアの亜種とみられる Egregor の攻撃が増加
https://news.sophos.com/ja-jp/2020/12/15/egregor-ransomware-mazes-heir-apparent-jp/
脅威の評価: Egregorランサムウェア
https://unit42.paloaltonetworks.jp/egregor-ransomware-courses-of-action/
Rundll32.exeか.過検知になるから,そのままだとIOCへの検知セットしづらいなぁ.引数のpassegregor10を絡めて検知という感じかな.
追記2021/01/20
ランサムウェア「Egregor」の被害受けた組織は150超、防御難しく
https://news.mynavi.jp/article/20210112-1635938/
引用: 対策というか,緩和策は参考になるかな.
重要なデータはオフラインでバックアップを取る
重要なデータのコピーがクラウドや外付けのハードディスクなどにあることを確認する
削除や変更が行われないように、システムからバックアップしたデータにアクセスできないようにする
すべてのホストにウイルス対策またはマルウェア対策ソフトウェアをインストールして、定義ファイルを定期的に更新する
安全なネットワークのみを使用し、公衆Wi-Fiは使わない
2要素認証を使用するとともに、電子メール内の不審なリンクのクリックや添付ファイルのオープンは行わない
最近のRDP関連の脆弱性に関してパッチを適用する(CVE-2020-0609、CVE-2020-0610、CVE-2020-16896、CVE-2019-1489、CVE-2019-1225、CVE-2019-1224、CVE-2019-1108)
疑わしい.bat、.dll、.logなどや抽出フィルタを確認する
アクセス制限および多要素認証および強力なパスワードの使用でRDPを安全に構成する
テクニカルな部分の分析記事.
Maze ランサムウェアの亜種とみられる Egregor の攻撃が増加
https://news.sophos.com/ja-jp/2020/12/15/egregor-ransomware-mazes-heir-apparent-jp/
脅威の評価: Egregorランサムウェア
https://unit42.paloaltonetworks.jp/egregor-ransomware-courses-of-action/
Rundll32.exeか.過検知になるから,そのままだとIOCへの検知セットしづらいなぁ.引数のpassegregor10を絡めて検知という感じかな.
追記2021/01/20
ランサムウェア「Egregor」の被害受けた組織は150超、防御難しく
https://news.mynavi.jp/article/20210112-1635938/
引用:
FBIはEgregorに関して、複数の異なる攻撃者が侵入およびランサムウェアイベントの実行に関与するといったように、感染と展開に多数のアクターが関与し、その活動に使われる戦術、技術、手順が大きく異る点を指摘。結果として、防御と軽減の実施に関して重大な課題をもたらしていると警告している。