Ransomware Egregor se roba información de compañías en todo el mundo

alejandroverjel-google-ads

Escrito por RansomwareHelp

El objetivo de este blog corporativo es compartir diversos conocimientos de ransomware sus ataques y consecuencia a nivel mundial. como prevenirlo y actual a tiempo para recuperar sus datos.

25 de mayo de 2022

El Ransomware Egregor es uno de los malwares más nuevos en la industria de los ciberataques. Apareció por primera vez en septiembre de 2020. Se ha relacionado con Sekhmet, dado a sus similitudes en cuanto a la superposición de firmas de malware, la elección de sus víctimas y la práctica de filtrar datos confidenciales en la web oscura.

Así como otros ransomware, Egregor ha afectado muchas empresas de diversas industrias. Sus ataques sofisticados y su adaptabilidad ante sus víctimas, indican que se ha trabajado este malware durante mucho tiempo.

Hoy te contaremos cuáles han sido los ataques más relevantes a las compañías, cómo las ataca, cómo podrías evitarlo y algunos consejos de expertos para manejar este tipo de malware.

Ataques relevantes de Ransomware Egregor a las compañías

Empresas como Cencosud, Barnes & Noble, Crytek y Ubisoft, KMart, entre otros, han sido afectadas por este ransomware. A continuación, te contamos algunos de los ataques cibernéticos más relevantes que ha hecho este grupo.

  • Cencosud fue atacado por Ransomware Egregor

En noviembre de 2020, atacaron los servicios de las tiendas de este conglomerado minorista, cifrando los dispositivos en sus puntos de venta, para así impactar sus operaciones. Esto impidió los pagos a través de tarjetas Cencosud, devoluciones y la imposibilidad de la recolección de pedidos hechos en línea.

  • Crytek y Ubisoft

Los desarrolladores de videojuegos Crytek y Ubisoft, sufrieron ataques al inicio de este malware. El código fuente de uno de sus videojuegos se filtró, exponiendo algunos materiales de desarrollo de determinados proyectos. En ambos casos, el Ransomware Egregor aseguró que el impacto había estado únicamente relacionado en el robo de datos, sin perjudicarlos sistemas.

  • Barnes and Noble atacado por ransomware Egregor

Barnes and Noble es una de las librerías más grandes del mundo que sufrió, en octubre de 2020. Este ataque cibernético, afectó los datos de sus clientes como: direcciones de envió, correos electrónicos y algunos teléfonos. Más adelante, en la web oscura se le atribuyó el ataque a Egregor.

Translink es un sistema de transporte masivo en Vancouver, el cual sufrió un ataque por el ransomware Egregor en diciembre de 2020. Este afectó los sistemas de pago del servicio, afectando también líneas telefónicas y sistemas web.

La nota dejada por los ciberdelincuentes afirmaba que se debía realizar el  pago por el rescate, dentro de los tres días siguientes al ataque. Algo bastante inusual, pues dejaron un mensaje de forma diferente al robar impresoras para imprimir la nota de rescate.

Ransomware Egregor¿Cómo ataca Ransomware Egregor a sus víctimas?

Egregor, al igual que muchos ransomware, opera bajo un servicio RaaS que cuenta con un gran número de afiliados y diversos métodos para atacar.

Este primer “ataque” es a través de operaciones de phishing, piratería de acceso remoto, credenciales robadas, entre otros. Su foco son empleados de empresas, con archivos adjuntos maliciosos y señuelo llamado Qakbot, para luego introducir Egregor. Este implementado de forma manual gracias a los permisos otorgados por los empleados.

Sin embargo, este tipo de malware emplea diversas técnicas como la ofuscación de código y las cargas útiles empaquetadas, lo cual dificulta ser analizado. Los datos no se podrán descifrar y analizar a menos que los equipos de seguridad afectados, cuenten con el argumento correcto de la línea de comandos.

Esta infección de ransomware Egregor ocurre a través de un cargador, y en el firewall de la víctima habilita el Protocolo de escritorio remoto. Una vez allí, el malware se moverá dentro de la web para identificar y deshabilitar por completo el antivirus.Luego de ello, se cifrarán los datos y se introducirá en este mismo proceso el archivo .TXT, el cual indica de qué manera se podrá comunicar con los ciberdelincuentes.

Ataque de Ransomware Egregor paso a paso

  • Infección inicial del Ransomware Egregor

En este paso se infiltran, en documentos adjuntos, archivos maliciosos que afectarán a tus sistemas. Esta es la forma más común de atacar puesto que es una de las formas más fáciles y rápidas de promover el malware en la red.

  • Recopilación de  información

En este segundo paso Egregor empleará herramientas para obtener la información que pueda ser comprometida para obtener accesos.

  • Obtención de privilegios

En este proceso, es común que este tipo de malware obtenga los permisos necesarios para adquirir la administrador del dominio.

  • Movimiento lateral y robo de credenciales en los sistemas

Egregor utiliza protocolo cliente-servidor para comunicar los comandos para obtener la información de la dirección IP C2.

  • Comunicación C & C

Al tener contacto con los servidores de Comando y Control, el ransomware inserta scripts en los host infectados.

  • Proceso de exfiltración de datos

Egregor oculta procesos para filtrar datos, incluso aquellos con información en la nube.

  • Inhabilitación de los escudos de Windows

Egregor “desactiva” Windows Defender y busca eliminar los agentes antivirus antes de su ejecución.

  • Egregor es ejecutado

El malware crea una biblioteca de enlaces dinámicos personalizados y los ejecuta para cifrar la información en el sistema.

Protegerse contra Egregor es posible, algunos consejos

Se deben tomar medidas cautelares para evitar el ransomware Egregor, que pueden resultar indispensables y sencillas de cara este tipo de ataques. Te brindamos algunos consejos para que puedas proteger tus sistemas.

  • Realiza periódicamente las actualizaciones y parches de tu infraestructura y sistemas de TI para atacar la vulnerabilidad de tus sistemas.
  • Audita continuamente la seguridad de tu infraestructura.
  • Define el respaldo de tus datos fuera del sitio, servidores y en general, de tu infraestructura de TI.
  • Involucra a tu seguridad diversas tácticas para incrementar la seguridad de tus sistemas.
  • Configura la autenticación multifactor para aumentar el nivel de seguridad existente.
  • Crea una cultura de ciberseguridad que permita que cada uno de los integrantes de tu equipo esté entrenado para evitar este tipo de situaciones o las mejores formas de cómo abordarlas en sitios web, servidores, sistemas internos, entre otros.
  • Emplea análisis de comportamiento de usuarios y entidades que permitan auditar, controlar y responder con prontitud ante cualquier situación.

Protege tus sistemas

Si bien el equipo de Egregor fue detenido en febrero del año pasado, es importante que tengas en cuenta los tipos de ataques comunes que se presentan en los ciberdelitos. Proteger tus sistemas será indispensable para mantener la seguridad de tu información y el correcto funcionamiento de tus servicios. La prevención será tu arma para respaldarte de dichas intenciones.

Cuenta con nosotros si quieres combatir malware y otro tipo de ciberdelincuencia. Contáctanos para saber cómo podemos ayudarte.

Artículos relacionados

Encuentra aquí artículos relacionados de tu interes. Estaremos publicando nuevos post con mayor periocidad.

¿Qué es el Ransomware?

¿Qué es el Ransomware?

La era del ransomware: esto es lo que debes saber sobre recuperación de datos. Tan solo para este año se espera que los ataques de ransomware asciendan a cinco mil millones, solamente en daños. Ésta cifra se calculó luego de recientes ataques de ransomware, en base...

Lo hacemos por ti.
Desciframos Información valiosa
para su empresa

Soluciones para informática forense

Contamos con un laboratorio de recuperación de
datos equipado con la más avanzada tecnología