Cyberthreat.id - Biro Investigasi Federal AS (FBI) mengatakan kampanye ransomware Egregor menargetkan bisnis di seluruh dunia.

Dikutip dari Bleeping Computer, dalam peringatan yang dirilis pada Rabu (6 Januari 2021) itu, FBI mengatakan Egregor telah menyerang lebih dari 150 perusahaan sejak September 2020 lalu.

Menurut Dinas Intelijen dan Keamanan AS, operator dibalik ransomware Egregor  menggunakan berbagai mekanisme untuk menyusupi jaringan bisnis, termasuk menargetkan jaringan bisnis dan akun pribadi karyawan yang berbagi akses dengan jaringan atau perangkat bisnis.

"Selain jumlah aktor yang terlibat dalam kampaye Egregor, taktik, teknik, dan prosedur (TTP) yang digunakan juga sangat bervariasi, menciptakan tantangan yang signifikan untuk pertahanan dan mitigasi," ungkap Dinas Intelijen dan Keamanan AS.

Ada beberapa vektor yang digunakan oleh operator Egregor untuk akses dan bergerak secara lateral dalam jaringan korban mereka, seperti email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP) yang tidak aman.

Egregor diketahui menggunakan Cobalt Strike, Qakbot/ Qbot, Advanced IP Scanner, dan AdFind untuk eskalasi hak istimewa dan pergerakan jaringan lateral. Mereka juga menggunakan 7zip dan Rclone, terkadang disamarkan sebagai proses Proses Host Layanan (svchost), untuk eksfiltrasi data sebelum menyebarkan muatan ransomware di jaringan korban.

Saat berhasil menyusup ke jaringan korban, mereka juga mencuri file sebelum mengenkripsi perangkat. Biasanya, mereka mengancam akan membocorkan data jika korban menolak membayar uang tebusan.

Egregor juga diketahui sebagai salah satu operasi Ransomware yang menyediakan layanan untuk menyebarkan muatan ransomware, yang bekerjasama dengan pihak yang berhasil meretas jaringan perusahaan. Dalam kerjasama ini, pembayaran tebusan akan dibagi dua dengan skema pembagian 70/30 saat menerima pembayaran dari perusahaan.

Egregor mulai beroperasi setelah Maze menghentikan operasi mereka, dengan banyak afiliasi Maze segera beralih ke RaaS Egregor.

Sejak September, afiliasi Egregor telah menerobos dan mengenkripsi sistem beberapa organisasi terkenal termasuk namun tidak terbatas pada Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek, dan agen transportasi Metro Vancouver, TransLink.

Ketika menjadi korban ransomwaren ini, korban disarankan untuk tidak membayar tebusan karena tidak menjamin pemulihan data yang terenkripsi. Selain itu, uang tebusan ini akan digunakan oleh operator untuk mendanai operasi ransomware dan mendorong mereka untuk melanjutkan serangan.

FBI mendesak para korban untuk melaporkan insiden ransomware apa pun yang dialami untuk membantu penyelidik melacak pelaku ancaman di belakangnya dan mencegah serangan di masa depan.

Sementara itu, OFAC (Kantor Pengawasan Aset Luar Negeri Departemen Keuangan) mengatakan tahun lalu bahwa organisasi yang membantu korban ransomware untuk melakukan pembayaran uang tebusan juga menghadapi risiko sanksi karena tindakan mereka dapat melanggar peraturan OFAC. Para korban didesak untuk segera menghubungi OFAC jika mereka yakin permintaan pembayaran ransomware untuk menghindari terkena saksi.

Berikut beberapa hal yang dapat dilakukan sebagai langkah mitigasi yang dapat membantu bisnis untuk bertahan dari serangan Egregor:

• Selalu cadangkan data penting secara offline.
• Pastikan salinan data penting ada di cloud, hard drive eksternal atau perangkat penyimpanan lainnya.
• Pastikan untuk selalu mengamankan cadangan data dan pastikan data tidak dapat diakses untuk modifikasi atau penghapusan dari sistem tempat data berada.
• Jangan lupa  menginstal dan memperbaharui perangkat lunak anti-virus atau anti-malware secara teratur di semua host jaringan perusahaan.
• Pastikan karyawan hanya menggunakan jaringan yang aman dan hindari menggunakan jaringan Wi-Fi publik.
• Selalu gunakan otentikasi dua faktor dan jangan klik pada lampiran atau tautan yang tidak diminta dalam email.
• Prioritaskan penambalan produk dan aplikasi akses jarak jauh yang dapat diakses publik, termasuk kerentanan RDP terbaru seperti, (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
• Selalu meninjau file .bat dan .dll yang mencurigakan, file dengan data pengintaian (seperti file .log), dan alat eksfiltrasi.
•  Konfigurasikan RDP secara aman dengan membatasi akses, menggunakan otentikasi multi-faktor atau kata sandi yang kuat.[]