Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Historia del ransomware Egregor
Egregor es una cepa agresiva de ransomware que se dirige a grandes organizaciones. Ha sido extremadamente activo desde su descubrimiento en septiembre de 2020, cobrando cientos de víctimas en múltiples industrias. En febrero de 2021 se produjeron distintas detenciones en Francia y Ucrania El ransomware Egregor es conocido por imprimir en las impresoras de las víctimas las notas de rescate.
Los datos de la presentación muestran que Egregor reclamó una gran cantidad de víctimas en un espacio de tiempo muy corto y posiblemente acumuló víctimas más rápido que cualquier otro grupo. Esta oleada de ataques probablemente fue el resultado de que ex afiliados de Maze trajeron listas de redes ya comprometidas al programa de afiliados de Egregor.
Sin embargo, en un mes se produjo una caída significativa en la tasa de ataques. Esta disminución probablemente se debió a que los afiliados que cruzaron desde Maze agotaron rápidamente sus listas de redes ya incluidas y se quedaron sin objetivos potenciales fáciles.
¿Qué es Egregor?
Egregor es una cepa sofisticada de ransomware que cifra archivos usando encriptación ChaCha y RSA y usa técnicas avanzadas de ofuscación para frustrar los esfuerzos de análisis. "Egregor" se deriva del término griego antiguo para "despierto", un concepto oculto que se refiere a la energía colectiva de un grupo de personas que trabajan hacia un objetivo común: un nombre apropiado para un grupo de ransomware.
Al igual que muchos otros grupos de ransomware modernos, los operadores de Egregor extraen los datos de las víctimas y los almacenan en sus servidores antes de que los datos se cifren en la máquina del objetivo. Egregor exige una respuesta rápida, dando a las víctimas solo 72 horas para hacer contacto con los atacantes.
En caso de impago, los datos robados se publican en el sitio web del atacante, Egregor News, al que se puede acceder tanto en la web clara como en la web oscura. Uno de los últimos mensajes publicitarios conocidos en el sitio web de Egregor News fue el saludo navideño: “El equipo de Egregor desea felices fiestas a todos los clientes. Los regalos de Navidad te esperan. ¡Detalles en su chat personal! "
Egregor opera bajo el modelo de ransomware-as-a-service, mediante el cual los afiliados reciben una parte del pago del rescate a cambio de lanzar el malware en las redes de las víctimas. Los afiliados de Egregor ganan el 70 por ciento de los pagos de rescate que generan, y el 30 por ciento restante va al grupo Egregor. Se cree que el programa de afiliados de Egregor atrajo a muchos ex-afiliados de Maze tras el repentino retiro de la banda de ransomware Maze en noviembre de 2020.
La conexión Egregor-Sekhmet-Maze
Egregor, Sekhmet y Maze comparten casi exactamente el mismo código base. Sekhmet, una cepa de ransomware ahora inactiva que se detectó por primera vez en marzo de 2020, es idéntica a Maze, excepto por un pequeño ajuste en la forma en que usa los marcadores de archivos. Egregor, a su vez, es idéntico a Sekhmet, excepto por tener un valor de marcador de archivo diferente y un texto de nota de rescate.
Si bien no está claro si los creadores de Sekhmet y / o Maze son responsables de Egregor, las tres variantes claramente comparten similitudes significativas. La plataforma de filtraciones de Sekhmet, que expuso solo a seis víctimas en total, se desconectó aproximadamente al mismo tiempo que el lanzamiento del sitio Egregor News.
La historia de Egregor
Egregor se observó por primera vez en septiembre de 2020. Fue una amenaza extremadamente activa desde el principio, que cobró más de 130 víctimas en las primeras 10 semanas, incluidos objetivos de alto valor en los sectores de bienes industriales, comercio minorista y transporte.
Sospechosos operadores de Egregor arrestados
En febrero de 2021, los presuntos operadores de Egregor fueron arrestados en Ucrania tras una investigación conjunta de la policía francesa y ucraniana, que fue coordinada por Europol. Los investigadores pudieron rastrear a los sospechosos no identificados siguiendo el flujo de bitcoins que manejan los supuestos operadores. Según France Inter, los sospechosos detenidos proporcionaron apoyo logístico, financiero y de piratería al grupo Egregor. El 17 de febrero de 2021, el Servicio de Seguridad de Ucrania confirmó un número no revelado de arrestos en relación con la operación Egregor.
El sitio de extorsión del grupo se desconectó en el momento de los arrestos, lo que imposibilitó que las víctimas pagaran un rescate o contactaran al grupo de ransomware. Vale la pena señalar que el sitio de extorsión de Egregor había estado desconectado de manera intermitente durante algún tiempo antes de los arrestos, por lo que es posible que la interrupción no esté relacionada.
Nota de rescate de Egregor
Después de cifrar el sistema de destino, Egregor deja caer una nota de rescate titulada "RECOVER-FILES.txt" en todos los directorios infectados. La nota de rescate es bastante vaga y no contiene instrucciones de pago específicas. En cambio, instruye a las víctimas a instalar el navegador TOR, navegar al sitio web de los operadores y abrir un chat en vivo con los actores de la amenaza, quienes luego proporcionarán más instrucciones. La nota establece que los datos robados se publicarán si no se establece ningún contacto dentro de los tres días.
La nota afirma que después de recibir el pago, los atacantes proporcionarán el descifrado completo de todas las máquinas afectadas, una lista de archivos de los datos descargados, la confirmación de la eliminación de los datos extraídos y la total confidencialidad. Audazmente, la nota también establece que los operadores proporcionarán a las víctimas que paguen recomendaciones para proteger sus redes y evitar futuras infracciones.
Egregor es la única familia de ransomware conocida por imprimir notas de rescate a través de impresoras disponibles en redes comprometidas.
¿A quién se dirige Egregor?
Egregor se dirige a grandes organizaciones. Si bien el sector de bienes y servicios industriales fue inicialmente el más afectado, las empresas de una amplia gama de verticales se han visto afectadas por Egregor.
Egregor se dirige principalmente a organizaciones con sede en EE. UU., Aunque también se han infectado varias empresas en América del Sur, África, Asia, Europa y Oceanía.
Antes de cifrar los datos en una máquina comprometida, Egregor verifica el ID de idioma predeterminado del sistema y la cuenta de usuario. El ransomware no se ejecuta si se detecta alguno de los siguientes idiomas: uzbeko, rumano, azerbaiyano, turcomano, georgiano, kirguís, ucraniano, kazajo, tártaro, ruso, tayiko, armenio, bielorruso, rumano.
¿Cómo se transmite Egregor?
La información actualmente disponible sugiere que la cadena de infección generalmente comienza con un correo electrónico de phishing, que contiene una macro maliciosa incrustada en un documento adjunto.
Tras la ejecución, la macro descarga malware básico como Qakbot, IcedID y / o Ursnif, que se utilizan para obtener un punto de apoyo inicial en el entorno de destino. Los operadores de QakBot, un troyano bancario que se usa comúnmente para lanzar malware en redes infectadas, recientemente pasaron de eliminar ProLock, otra cepa de ransomware prominente, a eliminar Egregor.
Más adelante en la cadena de ataque, los operadores utilizan Cobalt Strike para recopilar información, escalar privilegios, moverse lateralmente a través de la red y preparar el sistema para el cifrado. Para extraer datos, los operadores suelen utilizar Rclone, un programa de línea de comandos de código abierto que se utiliza para gestionar el almacenamiento en la nube. También ha habido casos de operadores que utilizan Cobalt Strike para crear una conexión RDP con otros puntos finales en la red y copiar Egregor en ellos.
Es importante tener en cuenta que debido a que Egregor es un ransomware como servicio operado por múltiples afiliados, los métodos de infección pueden variar. Hemos escuchado rumores de que Egregor utiliza fallas en Microsoft Exchange, VBScript Engine y Adobe Flash Player, pero estos informes aún no están fundamentados.
Grandes ataques de Egregor
Ubisoft
En octubre de 2020, Egregor capturó la atención de la industria de la ciberseguridad con un ataque de alto perfil al desarrollador de videojuegos Ubisoft. Los actores de amenazas inicialmente lanzaron unos cientos de megabytes de datos relacionados con los activos del juego, antes de lanzar más tarde 560 GB de código fuente del último juego de acción y aventuras de Ubisoft, Watch Dogs: Legion.
Barnes & Noble
En octubre de 2020, Barnes & Noble se vio afectado por Egregor. El incidente obligó al gigante de las librerías de EE. UU. A cerrar su red para detener la propagación del ataque, lo que provocó que los usuarios de Nook no pudieran acceder a sus bibliotecas de libros electrónicos. Los actores de amenazas afirmaron haber robado datos financieros y de auditoría durante el ataque, mientras que las direcciones de correo electrónico, las direcciones de facturación, las direcciones de envío y el historial de compras también se expusieron en los sistemas comprometidos.
TransLink
En diciembre de 2020, la agencia de transporte de Metro Vancouver TransLink enfrentó una interrupción significativa después de ser víctima de Egregor. El ataque afectó a los teléfonos, los servicios en línea y los sistemas de pago, dejando a los viajeros sin poder pagar las tarifas con tarjetas de crédito o débito. Durante el incidente, se imprimieron notas de rescate desde impresoras TransLink y se colocaron digitalmente en directorios infectados.
Randstad
En diciembre de 2020, Randstad, una de las agencias de contratación más grandes del mundo, anunció que Egregor había violado su red. Los operadores publicaron un archivo de 32,7 MB de datos extraídos, que afirmaron que era solo el 1 por ciento del total de datos robados durante el ataque. Los datos filtrados contenían una variedad de documentos comerciales, incluidos informes financieros, documentos legales y hojas de cálculo contables.
Fuentes:
https://blog.emsisoft.com/en/37810/ransomware-profile-egregor/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.