Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Historia del ransomware Egregor


 Egregor es una cepa agresiva de ransomware que se dirige a grandes organizaciones. Ha sido extremadamente activo desde su descubrimiento en septiembre de 2020, cobrando cientos de víctimas en múltiples industrias. En febrero de 2021 se produjeron distintas detenciones en Francia y Ucrania El ransomware Egregor es conocido por imprimir en las impresoras de las víctimas las notas de rescate.



Los datos de la presentación muestran que Egregor reclamó una gran cantidad de víctimas en un espacio de tiempo muy corto y posiblemente acumuló víctimas más rápido que cualquier otro grupo. Esta oleada de ataques probablemente fue el resultado de que ex afiliados de Maze trajeron listas de redes ya comprometidas al programa de afiliados de Egregor.

Sin embargo, en un mes se produjo una caída significativa en la tasa de ataques. Esta disminución probablemente se debió a que los afiliados que cruzaron desde Maze agotaron rápidamente sus listas de redes ya incluidas y se quedaron sin objetivos potenciales fáciles.

¿Qué es Egregor?



Egregor es una cepa sofisticada de ransomware que cifra archivos usando encriptación ChaCha y RSA y usa técnicas avanzadas de ofuscación para frustrar los esfuerzos de análisis. "Egregor" se deriva del término griego antiguo para "despierto", un concepto oculto que se refiere a la energía colectiva de un grupo de personas que trabajan hacia un objetivo común: un nombre apropiado para un grupo de ransomware.

Al igual que muchos otros grupos de ransomware modernos, los operadores de Egregor extraen los datos de las víctimas y los almacenan en sus servidores antes de que los datos se cifren en la máquina del objetivo. Egregor exige una respuesta rápida, dando a las víctimas solo 72 horas para hacer contacto con los atacantes.

En caso de impago, los datos robados se publican en el sitio web del atacante, Egregor News, al que se puede acceder tanto en la web clara como en la web oscura. Uno de los últimos mensajes publicitarios conocidos en el sitio web de Egregor News fue el saludo navideño: “El equipo de Egregor desea felices fiestas a todos los clientes. Los regalos de Navidad te esperan. ¡Detalles en su chat personal! "

Egregor opera bajo el modelo de ransomware-as-a-service, mediante el cual los afiliados reciben una parte del pago del rescate a cambio de lanzar el malware en las redes de las víctimas. Los afiliados de Egregor ganan el 70 por ciento de los pagos de rescate que generan, y el 30 por ciento restante va al grupo Egregor. Se cree que el programa de afiliados de Egregor atrajo a muchos ex-afiliados de Maze tras el repentino retiro de la banda de ransomware Maze en noviembre de 2020.

La conexión Egregor-Sekhmet-Maze

Egregor, Sekhmet y Maze comparten casi exactamente el mismo código base. Sekhmet, una cepa de ransomware ahora inactiva que se detectó por primera vez en marzo de 2020, es idéntica a Maze, excepto por un pequeño ajuste en la forma en que usa los marcadores de archivos. Egregor, a su vez, es idéntico a Sekhmet, excepto por tener un valor de marcador de archivo diferente y un texto de nota de rescate.

Si bien no está claro si los creadores de Sekhmet y / o Maze son responsables de Egregor, las tres variantes claramente comparten similitudes significativas. La plataforma de filtraciones de Sekhmet, que expuso solo a seis víctimas en total, se desconectó aproximadamente al mismo tiempo que el lanzamiento del sitio Egregor News.

La historia de Egregor

Egregor se observó por primera vez en septiembre de 2020. Fue una amenaza extremadamente activa desde el principio, que cobró más de 130 víctimas en las primeras 10 semanas, incluidos objetivos de alto valor en los sectores de bienes industriales, comercio minorista y transporte.

Sospechosos operadores de Egregor arrestados

En febrero de 2021, los presuntos operadores de Egregor fueron arrestados en Ucrania tras una investigación conjunta de la policía francesa y ucraniana, que fue coordinada por Europol. Los investigadores pudieron rastrear a los sospechosos no identificados siguiendo el flujo de bitcoins que manejan los supuestos operadores. Según France Inter, los sospechosos detenidos proporcionaron apoyo logístico, financiero y de piratería al grupo Egregor. El 17 de febrero de 2021, el Servicio de Seguridad de Ucrania confirmó un número no revelado de arrestos en relación con la operación Egregor.

El sitio de extorsión del grupo se desconectó en el momento de los arrestos, lo que imposibilitó que las víctimas pagaran un rescate o contactaran al grupo de ransomware. Vale la pena señalar que el sitio de extorsión de Egregor había estado desconectado de manera intermitente durante algún tiempo antes de los arrestos, por lo que es posible que la interrupción no esté relacionada.

Nota de rescate de Egregor

Después de cifrar el sistema de destino, Egregor deja caer una nota de rescate titulada "RECOVER-FILES.txt" en todos los directorios infectados. La nota de rescate es bastante vaga y no contiene instrucciones de pago específicas. En cambio, instruye a las víctimas a instalar el navegador TOR, navegar al sitio web de los operadores y abrir un chat en vivo con los actores de la amenaza, quienes luego proporcionarán más instrucciones. La nota establece que los datos robados se publicarán si no se establece ningún contacto dentro de los tres días.

La nota afirma que después de recibir el pago, los atacantes proporcionarán el descifrado completo de todas las máquinas afectadas, una lista de archivos de los datos descargados, la confirmación de la eliminación de los datos extraídos y la total confidencialidad. Audazmente, la nota también establece que los operadores proporcionarán a las víctimas que paguen recomendaciones para proteger sus redes y evitar futuras infracciones.

Egregor es la única familia de ransomware conocida por imprimir notas de rescate a través de impresoras disponibles en redes comprometidas.

¿A quién se dirige Egregor?

Egregor se dirige a grandes organizaciones. Si bien el sector de bienes y servicios industriales fue inicialmente el más afectado, las empresas de una amplia gama de verticales se han visto afectadas por Egregor.

Egregor se dirige principalmente a organizaciones con sede en EE. UU., Aunque también se han infectado varias empresas en América del Sur, África, Asia, Europa y Oceanía.

Antes de cifrar los datos en una máquina comprometida, Egregor verifica el ID de idioma predeterminado del sistema y la cuenta de usuario. El ransomware no se ejecuta si se detecta alguno de los siguientes idiomas: uzbeko, rumano, azerbaiyano, turcomano, georgiano, kirguís, ucraniano, kazajo, tártaro, ruso, tayiko, armenio, bielorruso, rumano.

¿Cómo se transmite Egregor?

La información actualmente disponible sugiere que la cadena de infección generalmente comienza con un correo electrónico de phishing, que contiene una macro maliciosa incrustada en un documento adjunto.

Tras la ejecución, la macro descarga malware básico como Qakbot, IcedID y / o Ursnif, que se utilizan para obtener un punto de apoyo inicial en el entorno de destino. Los operadores de QakBot, un troyano bancario que se usa comúnmente para lanzar malware en redes infectadas, recientemente pasaron de eliminar ProLock, otra cepa de ransomware prominente, a eliminar Egregor.

Más adelante en la cadena de ataque, los operadores utilizan Cobalt Strike para recopilar información, escalar privilegios, moverse lateralmente a través de la red y preparar el sistema para el cifrado. Para extraer datos, los operadores suelen utilizar Rclone, un programa de línea de comandos de código abierto que se utiliza para gestionar el almacenamiento en la nube. También ha habido casos de operadores que utilizan Cobalt Strike para crear una conexión RDP con otros puntos finales en la red y copiar Egregor en ellos.

Es importante tener en cuenta que debido a que Egregor es un ransomware como servicio operado por múltiples afiliados, los métodos de infección pueden variar. Hemos escuchado rumores de que Egregor utiliza fallas en Microsoft Exchange, VBScript Engine y Adobe Flash Player, pero estos informes aún no están fundamentados.

Grandes ataques de Egregor

Ubisoft

En octubre de 2020, Egregor capturó la atención de la industria de la ciberseguridad con un ataque de alto perfil al desarrollador de videojuegos Ubisoft. Los actores de amenazas inicialmente lanzaron unos cientos de megabytes de datos relacionados con los activos del juego, antes de lanzar más tarde 560 GB de código fuente del último juego de acción y aventuras de Ubisoft, Watch Dogs: Legion.

Barnes & Noble

En octubre de 2020, Barnes & Noble se vio afectado por Egregor. El incidente obligó al gigante de las librerías de EE. UU. A cerrar su red para detener la propagación del ataque, lo que provocó que los usuarios de Nook no pudieran acceder a sus bibliotecas de libros electrónicos. Los actores de amenazas afirmaron haber robado datos financieros y de auditoría durante el ataque, mientras que las direcciones de correo electrónico, las direcciones de facturación, las direcciones de envío y el historial de compras también se expusieron en los sistemas comprometidos.

TransLink

En diciembre de 2020, la agencia de transporte de Metro Vancouver TransLink enfrentó una interrupción significativa después de ser víctima de Egregor. El ataque afectó a los teléfonos, los servicios en línea y los sistemas de pago, dejando a los viajeros sin poder pagar las tarifas con tarjetas de crédito o débito. Durante el incidente, se imprimieron notas de rescate desde impresoras TransLink y se colocaron digitalmente en directorios infectados.

Randstad

En diciembre de 2020, Randstad, una de las agencias de contratación más grandes del mundo, anunció que Egregor había violado su red. Los operadores publicaron un archivo de 32,7 MB de datos extraídos, que afirmaron que era solo el 1 por ciento del total de datos robados durante el ataque. Los datos filtrados contenían una variedad de documentos comerciales, incluidos informes financieros, documentos legales y hojas de cálculo contables.


Fuentes:
https://blog.emsisoft.com/en/37810/ransomware-profile-egregor/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.