Egregor, Ransomware-as-a-Service
Lo CSIRT Italia segnala che è stata identificata, a settembre 2020, una nuova variante di Ransomware-as-a-Service (RaaS) denominata Egregor, inizialmente considerata una possibile evoluzione di Maze, ma successivamente ricondotta alla famiglia di malware Sekhmet (a causa delle somiglianze nella modalità di configurazione e nello stile di offuscamento).
La diffusione del ransomware segue le metodologie di distribuzione più comuni:
- phishing
- bad links
- vulnerability attack.
Il malware, una volta entrato nel sistema, procede alla cifratura dei file che riesce a raggiungere, inclusi documenti, archivi e database.
Il ransomware ha delle funzionalità che consentono di verificare se stia funzionando su un computer reale (e non VM o in Sandbox) e, eventualmente, auto-rimuoversi. Inoltre Egregor è in grado di:
- ottenere i privilegi come amministratore
- ottenere i permessi di lettura e scrittura file
- esfiltrare password e accessi.