El Ransomware Egregor es uno de los malwares más nuevos en la industria de los ciberataques. Apareció por primera vez en septiembre de 2020. Se ha relacionado con Sekhmet, dado a sus similitudes en cuanto a la superposición de firmas de malware, la elección de sus víctimas y la práctica de filtrar datos confidenciales en la web oscura.
Así como otros ransomware, Egregor ha afectado muchas empresas de diversas industrias. Sus ataques sofisticados y su adaptabilidad ante sus víctimas, indican que se ha trabajado este malware durante mucho tiempo.
Hoy te contaremos cuáles han sido los ataques más relevantes a las compañías, cómo las ataca, cómo podrías evitarlo y algunos consejos de expertos para manejar este tipo de malware.
Ataques relevantes de Ransomware Egregor a las compañías
Empresas como Cencosud, Barnes & Noble, Crytek y Ubisoft, KMart, entre otros, han sido afectadas por este ransomware. A continuación, te contamos algunos de los ataques cibernéticos más relevantes que ha hecho este grupo.
Cencosud fue atacado por Ransomware Egregor
En noviembre de 2020, atacaron los servicios de las tiendas de este conglomerado minorista, cifrando los dispositivos en sus puntos de venta, para así impactar sus operaciones. Esto impidió los pagos a través de tarjetas Cencosud, devoluciones y la imposibilidad de la recolección de pedidos hechos en línea.
Crytek y Ubisoft
Los desarrolladores de videojuegos Crytek y Ubisoft, sufrieron ataques al inicio de este malware. El código fuente de uno de sus videojuegos se filtró, exponiendo algunos materiales de desarrollo de determinados proyectos. En ambos casos, el Ransomware Egregor aseguró que el impacto había estado únicamente relacionado en el robo de datos, sin perjudicarlos sistemas.
Barnes and Noble atacado por ransomware Egregor
Barnes and Noble es una de las librerías más grandes del mundo que sufrió, en octubre de 2020. Este ataque cibernético, afectó los datos de sus clientes como: direcciones de envió, correos electrónicos y algunos teléfonos. Más adelante, en la web oscura se le atribuyó el ataque a Egregor.
Translink
Translink es un sistema de transporte masivo en Vancouver, el cual sufrió un ataque por el ransomware Egregor en diciembre de 2020. Este afectó los sistemas de pago del servicio, afectando también líneas telefónicas y sistemas web.
La nota dejada por los ciberdelincuentes afirmaba que se debía realizar el pago por el rescate, dentro de los tres días siguientes al ataque. Algo bastante inusual, pues dejaron un mensaje de forma diferente al robar impresoras para imprimir la nota de rescate.
¿Cómo ataca Ransomware Egregor a sus víctimas?
Egregor, al igual que muchos ransomware, opera bajo un servicio RaaS que cuenta con un gran número de afiliados y diversos métodos para atacar.
Este primer “ataque” es a través de operaciones de phishing, piratería de acceso remoto, credenciales robadas, entre otros. Su foco son empleados de empresas, con archivos adjuntos maliciosos y señuelo llamado Qakbot, para luego introducir Egregor. Este implementado de forma manual gracias a los permisos otorgados por los empleados.
Sin embargo, este tipo de malware emplea diversas técnicas como la ofuscación de código y las cargas útiles empaquetadas, lo cual dificulta ser analizado. Los datos no se podrán descifrar y analizar a menos que los equipos de seguridad afectados, cuenten con el argumento correcto de la línea de comandos.
Esta infección de ransomware Egregor ocurre a través de un cargador, y en el firewall de la víctima habilita el Protocolo de escritorio remoto. Una vez allí, el malware se moverá dentro de la web para identificar y deshabilitar por completo el antivirus.Luego de ello, se cifrarán los datos y se introducirá en este mismo proceso el archivo .TXT, el cual indica de qué manera se podrá comunicar con los ciberdelincuentes.
Ataque de Ransomware Egregor paso a paso
Infección inicial del Ransomware Egregor
En este paso se infiltran, en documentos adjuntos, archivos maliciosos que afectarán a tus sistemas. Esta es la forma más común de atacar puesto que es una de las formas más fáciles y rápidas de promover el malware en la red.
Recopilación de información
En este segundo paso Egregor empleará herramientas para obtener la información que pueda ser comprometida para obtener accesos.
Obtención de privilegios
En este proceso, es común que este tipo de malware obtenga los permisos necesarios para adquirir la administrador del dominio.
Movimiento lateral y robo de credenciales en los sistemas
Egregor utiliza protocolo cliente-servidor para comunicar los comandos para obtener la información de la dirección IP C2.
Comunicación C & C
Al tener contacto con los servidores de Comando y Control, el ransomware inserta scripts en los host infectados.
Proceso de exfiltración de datos
Egregor oculta procesos para filtrar datos, incluso aquellos con información en la nube.
Inhabilitación de los escudos de Windows
Egregor “desactiva” Windows Defender y busca eliminar los agentes antivirus antes de su ejecución.
Egregor es ejecutado
El malware crea una biblioteca de enlaces dinámicos personalizados y los ejecuta para cifrar la información en el sistema.
Protegerse contra Egregor es posible, algunos consejos
Se deben tomar medidas cautelares para evitar el ransomware Egregor, que pueden resultar indispensables y sencillas de cara este tipo de ataques. Te brindamos algunos consejos para que puedas proteger tus sistemas.
- Realiza periódicamente las actualizaciones y parches de tu infraestructura y sistemas de TI para atacar la vulnerabilidad de tus sistemas.
- Audita continuamente la seguridad de tu infraestructura.
- Define el respaldo de tus datos fuera del sitio, servidores y en general, de tu infraestructura de TI.
- Involucra a tu seguridad diversas tácticas para incrementar la seguridad de tus sistemas.
- Configura la autenticación multifactor para aumentar el nivel de seguridad existente.
- Crea una cultura de ciberseguridad que permita que cada uno de los integrantes de tu equipo esté entrenado para evitar este tipo de situaciones o las mejores formas de cómo abordarlas en sitios web, servidores, sistemas internos, entre otros.
- Emplea análisis de comportamiento de usuarios y entidades que permitan auditar, controlar y responder con prontitud ante cualquier situación.
Protege tus sistemas
Si bien el equipo de Egregor fue detenido en febrero del año pasado, es importante que tengas en cuenta los tipos de ataques comunes que se presentan en los ciberdelitos. Proteger tus sistemas será indispensable para mantener la seguridad de tu información y el correcto funcionamiento de tus servicios. La prevención será tu arma para respaldarte de dichas intenciones.
Cuenta con nosotros si quieres combatir malware y otro tipo de ciberdelincuencia. Contáctanos para saber cómo podemos ayudarte.