La estrategia de "doble rescate" del grupo detrás del ransomware Egregor desafía la defensa corporativa. Volver a una amenaza muy real y a avenidas de reflexión para protegerse de ella.
Especializado en ataques de ransomware, el grupo Egregor es actualmente uno de los de más rápido crecimiento. Según el grupo Insikt de Recorded Future, su nombre, tomado del mundo oculto, se refiere a "la energía colectiva de un grupo de personas, especialmente cuando tienen un objetivo común ”. Aunque los deiones del malware
Sin embargo, parece que los miembros del grupo Maze se han unido a Egregor sin dudarlo. Unit 42, el equipo de seguridad de Palo Alto Networks e Insikt, cree que Egregor está asociado con malware básico como Qakbot, que saltó a la fama en 2007, que utiliza un gusano sofisticado y evasivo. para robar información financiera, pero también de otro malware disponible en el mercado como IcedID y Ursnif. Este malware ayuda a los atacantes a obtener acceso inicial a los sistemas de las víctimas. Todos los investigadores de seguridad parecen estar de acuerdo con el equipo Nocturnus de Cybereason en que Egregor representa una amenaza de alta gravedad y está creciendo rápidamente.demente. Según Shadows, la pandilla ha cobrado al menos 71 víctimas en 19 áreas diferentes alrededor del mundo.
Doble experto en extorsión
Como la mayoría variantes de ransomware activamente explotadas hoy, Egregor utiliza la "doble extorsión", para presionar a las víctimas y obligarlas a pagar el rescate, las amenaza, ya sea para hacer pública la demanda de rescate en un "Muro of Shame ”o publicar los datos robados en Internet. Algunas de las víctimas más conocidas de Egregor incluyen Kmart, el metro de Vancouver, Barnes and Noble, desarrolladores de videojuegos Ubisoft y Crytek , y la empresa holandesa de recursos humanos Randstad y, más recientemente, el ayuntamiento dela Rochelle , parte de cuyos datos robados se han publicado en la web.
Como muchos ciberdelincuentes web, los atacantes de Egregor también se dirigieron a establecimientos sanitarios y hospitales, identificado como presa fácil, durante la crisis del coronavirus. Este es el caso del proveedor sanitario estadounidense con sede en Maryland, GBMC Healthcare, afectado a principios de diciembre de 2020, que tuvo que suspender algunas de sus actividades debido a un ataque del ransomware Egregor. La compañía dijo que contaba con fuertes protecciones, pero que, sin embargo, se vio obligada a posponer ciertas intervenciones no urgentes.
La garantía de la copia de seguridad no es suficiente
La doble extorsión, o doble rescate, característica de este nuevo tipo de ransomware, pone en tela de juicio la defensa puesta en place por la mayoría de las empresas, es decir, confiar en copias de seguridad sólidas en caso de cifrado de archivos por parte de los atacantes. “Egregor hizo su aparición hace unos meses, pero fue especialmente en septiembre cuando el grupo comenzó a llevar a cabo sus ataques por todo el mundo, en la época en que el grupo Maze anunció el final de su actividades ", explicó Jen Miller-Osborn, directora asistente de inteligencia de amenazas para la Unidad 42 en Palo Alto Networks.
" Si tiene buenas copias de seguridad sin conexión, la situación es mucho menor grave si es víctima de ransomware ”, añadió. "El impacto comercial y el tiempo de inactividad de la empresa no son cero, pero ya lo ha integrado en su plan de recuperación basado en estas copias de seguridad". Grupos como Egregor “entendieron el principio”. Les dicen a las víctimas: "Ya hemos robado tus datos, así que tienes que pagarnos por ello". O entonces,amenazan con hacerlas públicas y arruinar o al menos dañar la reputación de la empresa. "Tal argumento hace que la garantía del respaldo, que ha funcionado durante tanto tiempo, ya no sea suficiente", dijo Jen Miller-Osborn. "Esta es la táctica que utilizó Maze Group, y Egregor está haciendo lo mismo".
Mayor vigilancia contra el phishing
Á l Al igual que Maze, Egregor se vende como ransomware como servicio (RaaS), es decir, el grupo de ciberdelincuentes vende o arrienda su malware a otras personas para su uso. con fines maliciosos. Varios afiliados de Maze se han cambiado a Egregor. "Así que parece que, en términos de popularidad y rentabilidad, el ransomware Egregor sucederá a Maze hasta que otro jugador más inventivo presente una variante más creativa de Egregor", añadió Miller-Osborn. “Las protecciones más sólidas pueden ayudar a las empresas a protegerse contraEl doble rescate de Egregor ”, dijo también la Sra. Miller-Osborn. "En general, un ataque de ramsomware no es particularmente complicado.
En la mayoría de los casos, este tipo de malware no es del tipo sigiloso. Muchas infecciones de ransomware se producen como resultado de ataques de phishing. Es sin duda el vector de infección más común ”. Por lo tanto, una mejor protección y conciencia sobre el phishing podría ayudar. "Tenga cuidado al abrir sus correos electrónicos, no haga clic en ningún enlace. Este es el tipo de consejo que sigue repitiendo, pero es lo más fácil que puede hacer para evitar un ataque de ransomware ”.
Santuarize datos confidenciales
"Las empresas también pueden tomar otras medidas internamente, incluido el mantenimiento de sus datos más confidenciales en enclaves", dijo Jen Miller-Osborn. "Básicamente, espara evitar topologías de red planas e identificar los datos más confidenciales o aquellos cuya pérdida podría ser más perjudicial para la empresa ". Para los datos más sensibles, "las empresas deben proporcionar un indicador adicional, con controles de seguridad de mayor nivel que los que podrían utilizar para otras partes de la red", recomendó. "Obviamente, todo esto cuesta dinero y no es trivial".
Cualquier empresa también debe ser consciente de que sus datos altamente sensibles también pueden ser el objetivo de los piratas informáticos. patrocinado por un competidor potencial o respaldado por un estado, por lo que también se recomienda invertir en la protección de este tipo de datos. “Los datos confidenciales buscados y extraídos por los agentes del rescate son a menudo los mismos datos a los que los espías podrían apuntar”, dijo Miller-Osborn. Por tanto, es importante que estos datos estén mejor protegidos.más alto y más difícil de acceder ”, agregó. "Un mayor conocimiento y una mayor protección de la red ayudan a detener y bloquear el ransomware", dijo Miller-Osborn. "Todo lo que necesita hacer es tener los componentes de seguridad adecuados, configurarlos correctamente y colocarlos en los lugares correctos. Es una cuestión de diseño de la postura de seguridad ”.
Vigilar la vida de los grupos
Con respecto al vínculo entre Egregor y el grupo Maze,“ no hay evidencia convincente de una conexión entre los dos grupos, pero muchas pequeñas pistas nos hacen creer que son las mismas personas ”, dijo Jen Miller-Osborn. No es raro en el mundo del malware que un individuo o grupo afirme que ha terminado sus actividades y luego los vea reaparecer con un nuevo nombre, cuando siempre es la misma persona o personas. "Su motivación es que en algún momento tambiénvisibles, hay demasiados artículos periodísticos sobre ellos y también hay demasiados organismos encargados de hacer cumplir la ley buscándolos ", explicó.
" Todo eso "Lo que están tratando de hacer es tomar distancia de esa familia anterior, por el motivo que sea". Desafortunadamente, este nuevo tipo de ransomware lanzado por Egregor es muy dañino y no terminará pronto. "Continuará y cada vez más actores, especialmente del lado criminal, comenzarán a aprovechar la situación, porque potencialmente saben que pueden ganar mucho dinero con este malware".
Aucun commentaire:
Enregistrer un commentaire