Actif depuis septembre 2020, le rançongiciel Egregor est actuellement mis en œuvre dans le cadre d’opérations dites de Big Game Hunting. Issu de la famille de codes malveillant Sekhmet, Egregor est parfois considéré comme le successeur de Maze. Il est mis à disposition de différents affiliés sous le modèle économique du ransomware-as-a-service, expliquant les différentes chaînes d’infection rapportées. Des chevaux de Troie tels que QakBot, Ursnif et IcedID ont ainsi pu servir à déployer Egregor sur les réseaux des victimes.

Le rapport suivant fournit une synthèse de la connaissance acquise par l’ANSSI sur ce code malveillant.

Des indicateurs de compromission sont disponibles sur la page CERTFR-2020-IOC-006.

TÉLÉCHARGER LE RAPPORT