Ransomware Egregor, la nueva amenaza

Desde que entró en el campo de los ciberdelincuentes en septiembre de 2020, el grupo Egregor ha penetrado en más de 71 empresas a nivel mundial, incluido el gigante de reclutamiento Randstad y el minorista estadounidense Kmart.

Pero, ¿quién es el grupo Egregor y cómo han logrado alzarse como una ciberamenaza importante en tan solo unos pocos meses? Aquí te lo contamos.

¿Quién es Egregor?

Egregor es un grupo de ciberdelincuentes que se especializa en una rama única de ataques de ransomware. Egregor es un término en Western Magic que se refiere a la energía colectiva de un grupo de personas unidas con un propósito común.

Se especula que los operadores de ransomware del notorio grupo de ciberdelincuencia Maze, formaron Egregor después de cerrar sus operaciones en octubre de 2020.

Los esfuerzos de ataque de ransomware de Maze fueron de gran alcance, proporcionando al grupo Egregor recién formado una plataforma prominente desde la que actuar.

Egregor se ganó su reputación destructiva después de que el grupo rompiera con éxito Barnes & Noble y los desarrolladores de videojuegos Crytek y Ubisoft en octubre de 2020.

En el ciberataque de Barnes & Noble, Egregor afirmó haber accedido a información financiera y de auditoría. En un correo electrónico interno a sus clientes, Barnes & Noble declaró que los datos financieros de los clientes no fueron robados. El ataque también provocó cortes temporales de los lectores electrónicos Nook de Barnes & Noble.

En los ciberataques de Crytek y Ubisoft, la banda de ransomware afirmó haber exfiltrado los códigos fuente de los próximos lanzamientos, incluidos Watchdogs: Legion y Arena of Fate. Egregor publicó un subconjunto de los datos robados en su sitio web en la web oscura, pero la legitimidad de la violación del código fuente no fue concluyente.

Egregor es una de las muchas ciberamenazas que se han aprovechado de la repentina dependencia masiva de las infraestructuras digitales provocada por la pandemia. Algunas de estas amenazas incluso están dirigidas específicamente al sector de la salud, lo que podría tener consecuencias devastadoras para los pacientes con Covid-19.

Egregor opera con un ransomware como modelo de servicio.

¿Qué es el ransomware como servicio?

Ransomware as a Service (RaaS) es una adopción del modelo de Software as a Service (SaaS). Los afiliados criminales se suscriben al software de ransomware que permite incluso a los piratas informáticos más novedosos lanzar ataques de ransomware devastadores y altamente complejos.

Debido a que los afiliados de ransomware reciben dividendos prodigiosos por cada ciberataque exitoso, están motivados para difundir el software malicioso, escalando rápidamente la operación de ransomware en un corto período de tiempo. La rápida expansión global de Egregor es prueba de esta exitosa estrategia de crecimiento.

Ransomware Egregor

El ransomware Egregor es una forma de malware que es una modificación tanto del ransomware Sekhmet como del ransomware Maze. Hay similitudes de código en las tres variantes de ransomware, también todas parecen apuntar al mismo grupo demográfico de víctimas. ‍

Los ataques de ransomware Egregor se caracterizan por sus tácticas de doble extorsión brutales pero altamente efectivas. El grupo de ciberdelincuencia viola datos confidenciales y los cifra para que la víctima no pueda acceder a ellos. Luego publican un subconjunto de los datos comprometidos en la web oscura como prueba del éxito de la exfiltración.

A continuación, se le indica a la víctima en una nota de rescate que pague un precio fijo dentro de los 3 días para evitar que se publiquen más datos personales en la red infestada de delincuentes. Si el precio del rescate se paga antes del ultimátum, se realiza el descifrado completo de los datos incautados.

¿Cómo funciona?

Egregor Ransomware parece apuntar, demográficamente hablando, a las mismas víctimas que Sekhmet y Maze.

El ransomware Egregor, como todos los ransomware, se inyecta en una víctima a través de un cargador. Este cargador y el ransomware instalado posteriormente sufren una ofuscación de código extensa para mitigar el análisis estático y la posibilidad de descifrado. La carga útil de Egregor solo se puede analizar ingresando la misma línea de comando utilizada para ejecutar la carga útil.

Después de una infracción exitosa, el ransomware Egregor manipula la configuración del firewall de la víctima para habilitar el Protocolo de escritorio remoto (RDP). El software se mueve meticulosamente a lo largo de la red de la víctima, identificando y desactivando clandestinamente todo el software antivirus.

Con todas las defensas desarmadas, el ransomware Egregor cifra todos los datos violados e inserta una nota de rescate titulada «RECOVER-FILES.txt» en todas las carpetas comprometidas.

Se indica a las víctimas que descarguen un navegador web oscuro para comunicarse con los actores de la amenaza a través de una página de destino dedicada en la web oscura.

Mitigación de amenazas de ransomware Egregor

Debido a que el ransomware Egregor es una amenaza nueva, los expertos en ciberseguridad aún están en el proceso de comprender exactamente cómo opera la amenaza. Las siguientes sugerencias de mitigación se han obtenido del análisis de los equipos de seguridad hasta la fecha.

  • Supervisar las infecciones de malware Qakbot, Ursnif e IceID. Se ha observado que el malware de productos básicos como Qakbot, Ursnif e IceID inyecta el ransomware Egregor como una carga útil secundaria. Si identificas estas amenazas internamente o dentro de la red de tu proveedor, la reparación inmediata es fundamental. ‍
  • Educa a todo el personal sobre los signos de los ataques de phishing. Los ataques de phishing son un vector de ataque común para inyectar ransomware. Podrían crear una puerta de enlace para el ransomware Egregor o cualquiera de sus cargas útiles hermanas: el malware QakBot, Uesnif y IceID. Debes asegurarte de que tu personal esté al tanto de todos los signos de un ataque de phishing y un ataque de clickjacking.
  • Configura todos los perfiles antivirus para bloquear todos los decodificadores, además de POP3 e IMAP.
  • Deshabilita todas las capacidades de acceso remoto
  • Supervisa continuamente tu postura de seguridad para fortalecer todas las vulnerabilidades.
  • Agrega un perfil antivirus a todas las políticas de seguridad
  • Implementa políticas de protección de zona para todas las zonas
  • Implementa políticas de seguridad de la información para todo el tráfico de fuentes no confiables.

Incidentes recientes

Desde septiembre de 2020, Egregor Ransomware ha tenido un número impresionante de víctimas. Mencionaremos solo algunos:

Gigante minorista Cencosud

Cencosud, una empresa minorista multinacional con sede en Chile, fue atacada por Egregor Ransomware en noviembre de 2020. El ataque impactó los servicios en sus tiendas. Con más de 140,000 trabajadores y $ 15 mil millones en ventas para 2019 y tiendas como Easy Home Goods, supermercados Jumbo y grandes almacenes de París, Cencosud es una de las empresas minoristas más grandes de América Latina.

Un buen ejemplo de cómo el ransomware Egregor afectó a Cencosud es lo que sucedió en una tienda Easy en Buenos Aires, donde se exhibió un cartel advirtiendo a los clientes que por cuestiones técnicas, no aceptan la tarjeta de crédito ‘Cencosud Card’, aceptan devoluciones o Permitir la recogida de compras web.

Cadena de tiendas Kmart

El incondicional minorista Kmart sufrió un ataque de ransomware a manos de la pandilla Egregor durante las vacaciones de diciembre de 2020.

Egregor Ransomware tiene computadoras y servidores encriptados vinculados a las redes de la compañía, sacando servicios de back-end. El medio recibió la supuesta nota de rescate de los actores de amenazas que afirman haber violado el dominio de Windows de Kmart.

En 2019, la empresa fue comprada por Transformco, que aparentemente también se vio afectada. El sitio web 88sears.com utilizado internamente estaba fuera de línea; los trabajadores confirmaron que esto sucedió debido al ataque de ransomware.

Randstad

La compañía con sede en Ámsterdam anunció a principios de diciembre de 2020 que fueron atacados por el ransomware Egregor. Randstad es la agencia de personal más grande del mundo con oficinas en 38 mercados y es propietaria del conocido sitio web de empleo Monster.com. Randstad emplea a más de 38.000 personas y generó 23.700 millones de euros en ingresos para 2019.

Egregor publicó un archivo de 32,7 MB con 184 archivos que incluían “hojas de cálculo contables, informes financieros, documentos legales y otros documentos comerciales diversos”; afirmaron que esto representaba solo el 1% de los datos exfiltrados.

Al igual que su predecesor, el ransomware Maze, parece que el ransomware Egregor llegó para quedarse, al menos por un tiempo, si nos fijamos en su «familia». Ten en cuenta que, si alguna vez te convierte en víctima de un ataque de ransomware, pagar el rescate solo alentará a los ciberdelincuentes, no te ayudará. Lo mejor que puedes hacer por tu empresa es utilizar la prevención como arma.