Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon FBI advierte a empresas sobre ataques del ransomware Egregor en todo el mundo


 El comunicado advierte a las empresas que el ransomware Egregor (sucesor de Maze), que aparentemente lleva más de 150 víctimas en distintas partes del mundo, está robando información y cifrando archivos para luego solicitar un rescate utilizando diferentes tácticas para lograr sus objetivos. La agencia de transporte de Metro Vancouver, TransLink, ha confirmado que los operadores de ransomware Egregor que violaron su red a principios de diciembre de 2020 también accedieron y potencialmente robaron la información bancaria y de seguridad social de los empleados.




Ganancias millonarias autores ransomware Ryuk

Vectores de ataque Ryuk




El FBI advierte sobre el ransomware Egregor (Ex-Maze) que extorsiona a empresas de todo el mundo

La agencia norteamericana afirmó el último miércoles en un comunicado en el que advierte principalmente a las empresas, que el ransomware Egregor, que hizo sus primeras apariciones en septiembre de 2020, ya lleva más de 150 víctimas en el mundo entre las cuales figuran varias compañías conocidas y de diferentes industrias.




Al igual que otros grupos de ransomware en actividad, luego de comprometer la red de una empresa primero roba información para posteriormente cifrar los archivos en los equipos infectados. Después, solicita a la víctima el pago de un rescate para devolver los archivos robados y recuperar el acceso a los archivos cifrados. En caso de no pagar, los criminales amenazan con publicar la información robada en un sitio de acceso público creado para este fin.

Como Ransomware as a service (RaaS), Egregor es distribuido gracias a la participación de varios actores, por lo que las tácticas empleadas para comprometer los equipos de sus víctimas pueden ser muy diferentes entre un ataque y otro, lo que representa un gran desafío para evitar esta amenaza, explica el FBI. En este sentido, “se ha visto ataques de Egregor utilizando correos de phishing con archivos adjuntos maliciosos con el objetivo de acceder a redes corporativas y a cuentas personales de empleados con los que se comparte acceso a redes corporativas y dispositivos”, agrega.

También se ha visto al ransomware abusar del protocolo de escritorio remoto (RDP) o de servicios de VPN para obtener acceso a las redes, utilizando también esto para moverse lateralmente dentro de las mismas. Tras lograr el compromiso y para lograr moverse lateralmente dentro de la red, utiliza algunas herramientas conocidas y también distribuidas por otros códigos maliciosos, como la herramienta de pentesting Cobalt Strike, Qbot (malware que también ha está siendo distribuido por Emotet durante 2020), la herramienta de escaneo de redes Advanced IP Scanner o AdFind. Para extraer y robar información se ha visto utilizar herramientas como 7zip o Rclone, menciona el comunicado.

Por último, y antes de brindar algunas recomendaciones para evitar ser víctima de Egregor, el FBI aconseja no pagar el rescate y recuerda que hacerlo promueven la actividad maliciosa de cibercriminales que al lograr monetizar sus ataques cuentan con los recursos para seguir operando y creciendo. También recuerda algo que ya hemos mencionado en reiteradas oportunidades, que pagar un rescate no asegura que la víctima recuperará el acceso a los archivos cifrados.

Para mitigar el posible impacto de este ransomware, se recomienda realizar backup de la información de forma periódica y mantener los respaldos con información sensible sin acceso a Internet. También se aconseja utilizar una solución de seguridad confiable en cada uno de los dispositivos y mantenerla actualizada, evitar hacer clic en archivos adjuntos que lleguen en correos que no esperamos recibir, implementar el doble factor de autenticación siempre que sea posible, y conectarse a redes seguras evitando principalmente redes Wi-Fi públicas.

Vectores de Ataque

Los correos electrónicos de phishing con archivos adjuntos maliciosos y el protocolo de escritorio remoto (RDP) inseguro o las redes privadas virtuales son algunos de los vectores de ataque utilizados por los actores de Egregor para obtener acceso y moverse lateralmente dentro de las redes de sus víctimas.

Egregor utiliza Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner y AdFind para la escalada de privilegios y el movimiento lateral de la red.


El FBI también compartió una lista de medidas de mitigación recomendadas que deberían ayudar a defenderse de los ataques de Egregor:


  • Realiza copias de seguridad de los datos críticos sin conexión.
  • Asegúrese de que las copias de los datos críticos estén en la nube o en un disco duro externo o dispositivo de almacenamiento.
  • Protege sus copias de seguridad y asegúrese de que no se pueda acceder a los datos para modificarlos o eliminarlos del sistema donde residen los datos.
  • Instale y actualice periódicamente software antivirus o antimalware en todos los hosts.
  • Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas.
  • Utilice la autenticación de dos factores y no haga clic en archivos adjuntos o enlaces no solicitados en los correos electrónicos.
  • Priorizar el parcheo de aplicaciones y productos de acceso remoto de cara al público, incluidas las vulnerabilidades RDP recientes (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019 -1224, CVE-2019-1108).
  • Revise archivos .bat y .dll sospechosos, archivos con datos de reconocimiento (como archivos .log) y herramientas de exfiltración.
  • Configure de forma segura RDP restringiendo el acceso, utilizando autenticación multifactor o contraseñas seguras.


Operación RaaS con ex afiliados de Maze como socios

Egregor es una operación de ransomware como servicio que se asocia con afiliados que piratean redes para implementar cargas útiles de ransomware, distribuyendo las ganancias del pago del rescate con los operadores de Egregor utilizando una división de 70/30.

Después de infiltrarse en las redes de las víctimas, también roban archivos antes de cifrar los dispositivos y los utilizan como palanca bajo la amenaza de filtrar públicamente los datos robados si no se paga el rescate.

Egregor comenzó a operar después de que Maze cerró su operación, y muchos de los afiliados de Maze se cambiaron inmediatamente al RaaS de Egregor.

Confirmada una brecha de datos en Sangoma Ransomware Coni


Sangoma Technologies Corporation, empresa dedicada a ofrecer soluciones de comunicaciones unificadas, también a nivel de servicio (UCaaS), y de voz sobre IP (VoIP) y dedicada al desarrollo de los proyectos Asterisk y FreePBX, ha confirmado una brecha de datos tras sufrir un reciente ciberataque de tipo ransomware Conti que afectó a uno de sus servidores.

Más de 26GB de datos robados se hicieron públicos el 23 de diciembre, entre los que se incluye información relativa a contabilidad, beneficios, salarios y otros documentos legales de la empresa. Por el momento, se confirma que ningún dato de sus clientes, ni sus productos o servicios, hayan sido comprometidos.

Fuentes:

https://www.welivesecurity.com/la-es/2021/01/08/fbi-advierte-companias-ataques-ransomware-egregor-en-mundo/

https://www.bleepingcomputer.com/news/security/fbi-warns-of-egregor-ransomware-extorting-businesses-worldwide/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.