Egregor Ransomware se roba información de compañías en todo el mundo

El ransomware Egregor es uno de los malwares más nuevos en la industria de los ciberataques, apareciendo por primera vez en septiembre de 2020. Se ha relacionado con Sekhmet, pues sus similitudes en cuanto a la superposición de firmas de malware, la elección de sus víctimas y la práctica de filtrar datos confidenciales en la web oscura.

Así como otros ransomware, Egregor ha afectado muchas empresas de diversas industrias. Sus ataques sofisticados y su adaptabilidad ante sus víctimas indican que se ha trabajado este malware durante mucho tiempo.  

Hoy te contaremos cuáles han sido los ataques más relevantes a las compañías, cómo las ataca, cómo podrías evitarlo y algunos consejos de expertos para manejar este tipo de malware. 

Ataques relevantes de Egregor a las compañías

Empresas como Cencosud, Barnes & Noble, Crytek y Ubisoft, KMart, entre otros, han sido afectadas por este ransomware. A continuación, te contamos algunos de los ataques cibernéticos más relevantes que ha hecho este grupo. 

Cencosud 

En noviembre de 2020, este conglomerado minorista atacó los servicios de sus tiendas, cifrando los dispositivos en sus puntos de venta para así impactar sus operaciones. Esto impidió los pagos a través de tarjetas Cencosud, devoluciones y la imposibilidad de la recolección de pedidos hechos en línea. 

Crytek y Ubisoft

Los desarrolladores de videojuegos Crytek y Ubisoft sufrieron ataques al inicio de este malware, causando que el código fuente de uno de sus videojuegos se filtrara en el caso de Ubisoft y para Crytek, expuso algunos materiales de desarrollo de determinados proyectos. En ambos casos, Egregor aseguró que el impacto había estado únicamente relacionado en el robo de datos sin perjudicarlos sistemas. 

Barnes and Noble 

Barnes and Noble es una de las librerías más grandes del mundo que sufrió, en octubre de 2020, uno de los ataques cibernéticos que afectó los datos de sus clientes como direcciones de envió, correos electrónicos y algunos teléfonos. Más adelante, en la web oscura se le atribuyó el ataque a Egregor.

Translink es un sistema de transporte masivo en Vancouver el cual sufrió un ataque por el ransomware Egregor en diciembre de 2020 que afectó los sistemas de pago del servicio; afectando también líneas telefónicas y sistemas web.  

La nota dejada por los ciberdelincuentes afirmaba que se debía realizar el dentro de los tres días siguientes al ataque, lo cual fue inusual pues dejaron un mensaje de forma diferente al robar impresoras para imprimir la nota de rescate. 

¿Cómo ataca Egregor a sus víctimas?

Egregor, al igual que muchos ransomware, opera bajo un servicio RaaS que cuenta con un gran número de afiliados y diversos métodos para atacar. 

Este primer “ataque” es a través de operaciones de phishing, piratería de acceso remoto, credenciales robadas, entre otros; enfocándose a empleados de dichas empresas con archivos adjuntos maliciosos con un señuelo llamado Qakbot, para luego introducir Egregor que es implementado de forma manual gracias a dichos permisos otorgados. 

Sin embargo, este tipo de malware emplea diversas técnicas como la ofuscación de código y las cargas útiles empaquetadas, lo cual dificulta ser analizado. Los datos no se podrán descifrar y por ende, analizar el malware a menos que los equipos de seguridad afectados cuenten con el argumento correcto de la línea de comandos. 

Esta infección de ransomware Egregor ocurre a través de un cargador, y en el firewall de la víctima, habilita el Protocolo de escritorio remoto. Una vez allí, el malware se moverá dentro de la web para identificar y deshabilitar por completo el antivirus.Luego de ello, se cifrarán los datos y se introducirá en este mismo proceso el archivo .TXT, el cual indica de qué manera se podrá comunicar con los ciberdelincuentes. 

Ataque paso a paso

Paso 1: Infección inicial

En este paso se infiltran, en documentos adjuntos, archivos maliciosos que afectarán a tus sistemas. Esta es la forma más común de atacar puesto que es una de las formas más fáciles y rápidas de promover el malware en la red. 

Paso 2: Recopilación de  información 

En este segundo paso Egregor empleará herramientas para obtener la información que pueda ser comprometida para obtener accesos. 

Paso 3: Obtención de privilegios 

En este proceso, es común que este tipo de malware obtenga los permisos necesarios para adquirir la administrador del dominio. 

Paso 4: Movimiento lateral y robo de credenciales en los sistemas

Egregor utiliza protocolo cliente-servidor para comunicar los comandos para obtener la información de la dirección IP C2.

Paso 5: Comunicación C & C

Al tener contacto con los servidores de Comando y Control, el ransomware inserta scripts en los host infectados. 

Paso 6: Proceso de exfiltración de datos

Egregor oculta procesos para filtrar datos, incluso aquellos con información en la nube. 

Paso 7: Inhabilitación de los escudos de Windows

Egregor “desactiva” Windows Defender y busca eliminar los agentes antivirus antes de su ejecución.

Paso 8: Egregor es ejecutado 

El malware crea una biblioteca de enlaces dinámicos personalizados y los ejecuta para cifrar la información en el sistema. 

Protegerse contra Egregor es posible, algunos consejos

Se deben tomar medidas cautelares para evitar el ransomware Egregor, que pueden resultar indispensables y sencillas de cara este tipo de ataques. Te brindamos algunos consejos para que puedas proteger tus sistemas.  

  • Realiza periódicamente las actualizaciones y parches de tu infraestructura y sistemas de TI para atacar la vulnerabilidad de tus sistemas.  
  • Audita continuamente la seguridad de tu infraestructura. 
  • Define el respaldo de tus datos fuera del sitio, servidores y en general, de tu infraestructura de TI. 
  • Involucra a tu seguridad diversas tácticas para incrementar la seguridad de tus sistemas. 
  • Configura la autenticación multifactor para aumentar el nivel de seguridad existente.
  • Crea una cultura de ciberseguridad que permita que cada uno de los integrantes de tu equipo esté entrenado para evitar este tipo de situaciones o las mejores formas de cómo abordarlas en sitios web, servidores, sistemas internos, entre otros.
  • Emplea análisis de comportamiento de usuarios y entidades que permitan auditar, controlar y responder con prontitud ante cualquier situación. 

Protege tus sistemas 

Si bien el equipo de Egregor fue detenido en febrero del año pasado, es importante que tengas en cuenta los tipos de ataques comunes que se presentan en los ciberdelitos. Proteger tus sistemas será indispensable para mantener la seguridad de tu información y el correcto funcionamiento de tus servicios;la prevención será tu arma para respaldarte de dichas intenciones. 

Cuenta con nosotros si quieres combatir malware y otro tipo de ciberdelincuencia. Contacta a nuestro equipo para saber cómo podemos ayudarte.

Te gustó éste articulo?

Share on facebook
Compartir en Facebook
Share on twitter
Compartir en Twitter
Share on linkedin
Compartir en Linkedin
Share on pinterest
Compartir en Pinterest

Déjanos tu opinión

Logo Ransomware Help

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia en nuestro sitio web.

Necesitas Ayuda?