Rancongiciel Egregor : toujours une menace ?

En général, les groupes qui mettent des rançongiciels en place ne durent pas dans le temps. Ils disparaissent aussi vite qu’ils sont apparus. À titre d’exemple, le ransomware Avaddon est arrivé en fin de vie en juin après avoir publié ses clés de décryptage en toute transparence, tandis que les membres de CLOP ont été arrêtés en Ukraine. Cette action résulte de la pression croissante exercée par les services de renseignement américains et les autorités ukrainiennes. Apparu en novembre 2020, Egregor n’a survécu que 6 mois. Mais continue-t-il à présenter une menace ?

Une analyse rétrospective des actions d’Egregor

L’attaque du rançongiciel Egregor s’est faite en deux dimensions pour atteindre son objectif. Il a chiffré et extrait les ressources critiques en même temps, dans le but de rendre les données sensibles publiques, sauf si la victime accepte de payer. Même si ce rançongiciel a été neutralisé, il a pu causer des pertes financières considérables en portant atteinte à différentes entreprises. Il faut rappeler que les groupes qui ont déployé ce logiciel malveillant étaient hautement qualifiés. Pour faire simple, ils ont mis en pratique diverses techniques sophistiquées. On peut citer à titre d’exemple, l’utilisation des points d’extrémité C2 avec des sosies de sites légitimes et des outils prêts à l’emploi. Certains logiciels étaient téléchargés sous forme de fichiers masqués. Bref, toutes les techniques utilisées ont permis de brouiller les pistes et de contourner les outils de sécurité traditionnels.

Une apparition sous une nouvelle version

En réalité, les rançongiciels supprimés ne disparaissent pas totalement. Ils passent juste dans la clandestinité. C’est la raison pour laquelle, ils continuent de sévir malgré les opérations de dissolution réalisées partout. De nouveaux acteurs apparaissent au fur et à mesure, constituant alors d’autres menaces. Par ailleurs, des pirates indépendants font leur apparition chaque jour sur le dark web. Concrètement, les utilisateurs de logiciels malveillants se contentent de faire profil bas, avant de refaire surface avec de nouvelles versions du rançongiciel. Ils changent alors de tactique. Il est donc impossible de suivre le flux de signatures et de nouvelles variantes. Il faut aussi savoir qu’attribuer des noms différents et une nouvelle infrastructure au logiciel malveillant permet aux cybercriminels de contourner les mesures américaines ou les contrôles fédéraux.

Egregor : une éventuelle réapparition

Même si Egregor a été démantelé en février 2021, il peut redevenir opérationnel comme ses cousins. Il pourrait bien être relancé sous un autre nom, mais également avec un code modifié. Si cela se présente, les signatures enregistrées dans les bases virales ne seront d’aucune utilité. Pour mieux lutter contre des rançongiciels utilisant les nouvelles méthodes d’intrusion et d’extorsion, une approche complètement différente est nécessaire. Pour Egregor, les terminaux sont désormais associés à Cobalt Strike via une source ouverte de renseignements. Par contre, le système C2 n’était pas répertorié au moment de l’enquête. Le logiciel était également inconnu de l’OSINT, ce qui implique qu’il a échappé aux outils qui se basent sur la reconnaissance des signatures de logiciel.