Malgré les protections solides mises en place par les entreprises, les pirates informatiques ne cessent de développer leur stratégie pour attaquer les départements IT de ces établissements. Le ransomware Egregor utilise, par exemple, une stratégie de double rançon qui remet largement en question le système de défense des entreprises. Que faut-il savoir sur Egregor ?
Egregor et son activité
Egregor est un groupe qui est spécialisé dans les attaques de ransomware. Son nom qui est emprunté du monde occulte signifie « l’énergie collective d’un groupe de personne visant un objectif commun ». Selon tous les chercheurs en sécurité ainsi que l’équipe Nocturnus de Cybereason, ce groupe qui a fait son apparition il y a quelques mois représente une grande menace vu qu’il se développe rapidement. Selon Shadows, il aurait fait au moins plus d’une soixantaine de victimes dans 19 secteurs différents partout dans le monde.
Suivant les propos d’Unit 42 et d’Insikt, Egregor serait aussi associé à des logiciels malveillants de base tels que Qakbot qui est un ver évasif et sophistiqué servant à voler des informations financières des victimes. Egregor serait aussi impliqué dans d’autres logiciels malveillants disponibles sur le marché, notamment IcedID et Ursnif. Ces malwares ont été mis au point pour aider les attaquants à obtenir facilement l’accès initial aux systèmes des victimes.
Egregor : un spécialiste de la double extorsion
Pour faire pression sur ces victimes et les obliger à payer les rançons sollicitées, Egregor utilise la double extorsion. En effet, ce gang menace de rendre publique la demande de rançon ou de publier les données piratées sur internet. Il faut savoir que ce type de ransomware remet en question la défense qui est adoptée par la majorité des entreprises.
Étant une variante de la famille du ransomware Sekhmet, un groupe apparu en septembre 2020, Egregor s’avère l’un des groupes qui connaissent aujourd’hui une forte expansion. Même s’il n’y a pas de preuve irréfutable, il semble que les membres du gang Maze ont rejoint Egregor sans hésiter au moment où celui-ci a fait part de son intention de mettre fin à ses activités. En effet, faisant également son apparition en mois de septembre, Egregor a commencé à mener ses attaques partout dans le monde.
Egregor : un ransomware vendu en tant que service
Comme Maze, Egregor est vendu comme ransomware en tant que service. Concrètement, le groupe de cybercriminel met en vente ou en location son malware à d’autres personnes. Ces dernières peuvent ensuite l’utiliser pour des fins malveillantes. Pour une entreprise ou une institution, une bonne protection et une meilleure sensibilisation en matière de phishing sont donc importantes.
Liste non exhaustive des victimes d’Egregor
Parmi les quelques victimes du ransomware Egregor, on compte Kmart, Barnes and Noble, Ubisoft et Crytek, le métro de Vancouver, la société néerlandaise des ressources humaines Randstad et la mairie de La Rochelle. Pendant la situation compliquée de la pandémie du coronavirus, ce gang a aussi ciblé des établissements de santé et des hôpitaux. Il y a, par exemple, le prestataire de soin américain GBMC Healthcare qui est basé dans le Maryland.
