• Ciberseguridad

Egregor Ransomware | Los 8 pasos de una ataque brutal

Egregor Ransomware es uno de los malwares más nuevos en la industria de los ciberataques. Apareció por primera vez en septiembre de 2020. Se ha relacionado con Sekhmet, dado a sus similitudes en cuanto a la superposición de firmas de malware, la elección de sus víctimas y la práctica de filtrar datos confidenciales en la web oscura.

Así como otros Ransomware, Egregor ha afectado muchas empresas de diversas industrias. Sus ataques sofisticados y su adaptabilidad ante sus víctimas, indican que se ha trabajado este malware durante mucho tiempo.

Hoy te contaremos cuáles y cómo han sido los ataques más relevantes a las compañías, cómo podrías evitarlos y algunos consejos de expertos para manejar este tipo de malware.

Ataques relevantes de Egregor Ransomware a las compañías

Empresas como Cencosud, Barnes & Noble, Crytek y Ubisoft, KMart, entre otros, han sido afectadas por este ransomware. A continuación, te contamos algunos de los ataques cibernéticos más relevantes que ha hecho este grupo.

✔️ Cencosud fue atacado por Egregor Ransomware

En noviembre de 2020, atacaron los servicios de las tiendas de este conglomerado minorista, cifrando los dispositivos en sus puntos de venta, para así impactar sus operaciones. Esto impidió los pagos a través de tarjetas Cencosud, devoluciones y la imposibilidad de la recolección de pedidos hechos en línea.

✔️ Ataque de Egregor Ransomware a Crytek y Ubisoft

Los desarrolladores de videojuegos Crytek y Ubisoft, sufrieron ataques al inicio de este malware. El código fuente de uno de sus videojuegos se filtró, exponiendo algunos materiales de desarrollo de determinados proyectos. En ambos casos, el Egregor Ransomware aseguró que el impacto había estado únicamente relacionado en el robo de datos, sin perjudicarlos sistemas.

✔️ Barnes and Noble atacado por ransomware Egregor

Barnes and Noble es una de las librerías más grandes del mundo que sufrió, en octubre de 2020. Este ataque cibernético, afectó los datos de sus clientes como: direcciones de envió, correos electrónicos y algunos teléfonos. Más adelante, en la web oscura se le atribuyó el ataque a Egregor Ransomware.

Translink es un sistema de transporte masivo en Vancouver, el cual sufrió un ataque por el Egregor Ransomware en diciembre de 2020. Este afectó los sistemas de pago del servicio, afectando también líneas telefónicas y sistemas web.

La nota dejada por los ciberdelincuentes afirmaba que se debía realizar el  pago por el rescate, dentro de los tres días siguientes al ataque. Algo bastante inusual, pues dejaron un mensaje de forma diferente al robar impresoras para imprimir la nota de rescate.

¿Cómo ataca Egregor Ransomware a sus víctimas?

Egregor, al igual que muchos ransomware, operó bajo un servicio RaaS que cuenta con un gran número de afiliados y diversos métodos para atacar. Incluso, este artículo podrás actualizarte sobre el declive de algunos RaaS.

Este primer “ataque” es a través de operaciones de phishing, piratería de acceso remoto, credenciales robadas, entre otros. Su foco son empleados de empresas, con archivos adjuntos maliciosos y un señuelo llamado Qakbot, para luego introducir Egregor, que es implementado de forma manual gracias a los permisos otorgados por los empleados.

Sin embargo, este tipo de malware emplea diversas técnicas como la ofuscación de código y las cargas útiles empaquetadas, lo cual dificulta ser analizado. Los datos no se podrán descifrar y analizar a menos que los equipos de seguridad afectados, cuenten con el argumento correcto de la línea de comandos.

Esta infección de Egregor Ransomware ocurre a través de un cargador, y en el firewall de la víctima habilita el Protocolo de escritorio remoto. Una vez allí, el malware se moverá dentro de la web para identificar y deshabilitar por completo el antivirus. Luego de ello, se cifrarán los datos y se introducirá en este mismo proceso el archivo .TXT, el cual indica de qué manera se podrá comunicar con los ciberdelincuentes.

Egregor Ransomware

La fama de Egregor proviene de su capacidad para llevar a cabo ataques altamente efectivos, su habilidad para evadir las medidas de seguridad tradicionales y su enfoque agresivo para extorsionar a las víctimas. Además, su modelo de amenaza se ha vuelto más avanzado con el tiempo, lo que lo convierte en una amenaza persistente y en constante evolución para las organizaciones en todo el mundo.

Ataque de Egregor Ransomware paso a paso

Su modus operandi es típico de un Ransomware: una vez que logra infiltrarse en la red de una organización, encripta los archivos críticos y luego exige un rescate a cambio de la clave para desbloquear los archivos. Lo que hace que Egregor Ransomware sea particularmente temible, es su capacidad para no solo cifrar los datos, sino también exfiltrarlos, lo que significa que pueden amenazar con hacer públicos los datos confidenciales si la víctima no paga el rescate.

De igual manera, acá te presentamos el paso a paso de su brutal infección.

1. Infección inicial del Egregor Ransomware

En este paso, Egregor Ransomware se infiltra en los sistemas de la víctima. Esto suele ocurrir a través de documentos adjuntos maliciosos en correos electrónicos o mediante descargas desde sitios web comprometidos. Esta táctica es común debido a su efectividad para propagar el malware rápidamente a través de la red.

2. Recopilación de  información

Una vez dentro del sistema, Egregor comienza a recopilar información valiosa que podría ser comprometedora o útil para obtener accesos más profundos en la red. Utiliza herramientas especializadas para este fin, explorando archivos, registros y otros recursos disponibles.

3. Obtención de privilegios

En esta etapa, el ransomware busca obtener los permisos necesarios para adquirir el control total sobre los sistemas afectados. Esto podría incluir la adquisición de privilegios de administrador o el control del dominio, permitiendo un acceso más amplio y profundo a la red.

4. Movimiento lateral y robo de credenciales en los sistemas

Egregor utiliza técnicas de movimiento lateral para propagarse a través de la red, infectando múltiples sistemas y robando credenciales en el proceso. Utiliza un protocolo cliente-servidor para comunicarse con servidores de Comando y Control (C&C), desde donde recibe instrucciones y envía datos comprometidos.

5. Comunicación C & C

Una vez que establece contacto con los servidores de Comando y Control, el ransomware inserta scripts maliciosos en los sistemas infectados, permitiendo a los operadores controlar y coordinar las actividades del malware de forma remota.

6. Proceso de exfiltración de datos

Egregor oculta procesos para filtrar datos, incluso aquellos alojados en la nube, enviándolos a servidores controlados por los atacantes. Esta exfiltración de datos puede incluir información confidencial, como datos personales o corporativos, que luego se utilizarán como palanca en las negociaciones de rescate.

7. Inhabilitación de los escudos de Windows

Como parte de su estrategia de evasión, Egregor intenta desactivar las defensas de seguridad de Windows, como Windows Defender, y busca eliminar cualquier software antivirus o antimalware que pueda detectar y detener su actividad.

8. Egregor Ransomware es ejecutado

Finalmente, el ransomware es ejecutado en los sistemas comprometidos. Utiliza una biblioteca de enlaces dinámicos personalizados para cifrar los archivos y datos en el sistema, dejando a la víctima con archivos inaccesibles y exigiendo un rescate a cambio de la clave de descifrado. Este proceso paraliza las operaciones de la víctima y genera presión para que paguen el rescate exigido.

Protegerse contra Egregor Ranomware es posible, algunos consejos

Se deben tomar medidas cautelares para evitar el Egregor Ransomware , que pueden resultar indispensables y sencillas de cara este tipo de ataques. Te brindamos algunos consejos para que puedas proteger tus sistemas.

  • Realiza periódicamente las actualizaciones y parches de tu infraestructura y sistemas de TI para atacar la vulnerabilidad de tus sistemas.
  • Audita continuamente la seguridad de tu infraestructura.
  • Define el respaldo de tus datos fuera del sitio, servidores y en general, de tu infraestructura de TI.
  • Involucra a tu seguridad diversas tácticas para incrementar la seguridad de tus sistemas.
  • Configura la autenticación multifactor para aumentar el nivel de seguridad existente.
  • Crea una cultura de ciberseguridad que permita que cada uno de los integrantes de tu equipo esté entrenado para evitar este tipo de situaciones o las mejores formas de cómo abordarlas en sitios web, servidores, sistemas internos, entre otros.
  • Emplea análisis de comportamiento de usuarios y entidades que permitan auditar, controlar y responder con prontitud ante cualquier situación.

Protege tus sistemas

Si bien el equipo de Egregor Ransomware fue detenido en febrero del año pasado, es importante que tengas en cuenta los tipos de ataques comunes que se presentan en los ciberdelitos. Proteger tus sistemas será indispensable para mantener la seguridad de tu información y el correcto funcionamiento de tus servicios. La prevención será tu arma para respaldarte de dichas intenciones.

Cuenta con nosotros si quieres combatir malware y otro tipo de ciberdelincuencia. Contáctanos para saber cómo podemos ayudarte.

Otros artículos