¿Qué es un Egregor? En el 'origen, el término "egregore" proviene de un concepto esotérico a veces adoptado en el mundo de la gestión que designa "un espíritu de grupo formado por la agregación de las intenciones, energías y deseos de varios individuos unidos en un objetivo bien definido ”. Por lo tanto, el término fue bien elegido para designar a este nuevo grupo de ciberdelincuentes, que operan con el modelo de ransomware como servicio, que apareció en septiembre de 2020. El FBI publicó esta semana una alerta sobre los ataques llevados a cabo por este grupo, mientras que Anssi publicó un informe el mes pasado sobre las actividades del grupo.
anuncio
Ransomware: uno perdido, diez encontrados
En el espacio de unos meses, el grupo ha atraído mucha atención, al reclamar en sus distintos sitios web más de 150 víctimas, cuyas empresas Crytek y Ubisoft en octubre de 2020. En su informe, Anssi confirma "al menos 69 organizaciones específicas", incluidas algunas empresas francesas. La aparición del grupo también coincide con el retiro del famoso grupo Maze, que anunció el final de sus actividades a principios de noviembre de 2020. Para Anssi, “es posible que la fuerte visibilidad adquirida por el grupo Maze hayaobliga al grupo a terminar el proyecto. Algunos de los miembros habrían desarrollado Sekhmet en caso del cierre del Proyecto Maze. Sekmhet se probó a sí mismo, este último se habría convertido en Egregor después de este cierre. Las numerosas similitudes técnicas entre los tres ransomware son otro argumento a favor de esta teoría.
Egregor no innova profundamente en el ámbito del ciberdelito: el FBI y Anssi coinciden en que el modelo económico elegido por los operadores del grupo es el del ransomware como servicio, Los desarrolladores de ransomware ponen su malware a disposición de terceros (afiliados) que se infiltran en las empresas víctimas e instalan el software.
Se sabe poco acerca de los vectores de infección utilizados para atacar a las víctimas, dijo Anssi, pero la agencia menciona el uso de campañas de phishing con archivos adjuntos maliciosos, así comouso de acceso ilegítimo a través de RDP. El FBI apunta a estos mismos vectores, así como a los ataques dirigidos a las VPN, diferentes elementos que se han convertido en estándar en el arsenal de los ciberdelincuentes.
Una vez que los ciberdelincuentes hayan puesto un pie en la red de la víctima , el uso de herramientas de prueba de penetración como Cobalt Strike está certificado, así como herramientas legítimas como Psexec L'Anssi también menciona el uso de Sharphound , una herramienta de mapeo de red interna, así como la herramienta de consulta de Active Directory AdFind . El grupo tiene, por ejemplo,También se utiliza malware conocido: el troyano bancario Qakbot , así como la Ursnif y IcedID . Los atacantes utilizan estas diferentes herramientas para moverse por la red comprometida, elevando sus privilegios hasta que puedan activar ransomware en la red después de eliminar las copias de seguridad accesibles en la red. También se sabe que los operadores roban datos antes de cifrar los archivos del objetivo, una táctica que también prevalece entre estos grupos.
Preferencias regionales
El ransomware utilizado por Egregor utiliza los algoritmos de cifrado ChaCha y RSA de 2048 bits para cifrar los archivosayer de estos objetivos, lo que significa que en este momento no se conoce ninguna forma de descifrar los archivos (aparte de la clave de descifrado que tienen los ciberdelincuentes). Sin embargo, Anssi indica que el ransomware contiene un mecanismo para detectar el idioma del sistema operativo: si el sistema está configurado en ruso, ucraniano, armenio u otros idiomas de países pertenecientes a CEI , el ransomware no cifrará los archivos.
El informe de la Agencia finaliza recordando las mejores prácticas para protegerse contra los ataques de Egregor (pero estas son válidas para casi todos los grupos de ransomware actuales): tener copias de seguridad en actualizado y desconectado de la red interna, aplicar parches de seguridad (especialmente en VPN), deshabilitar macros para soluciones de oficina y estar particularmente atento a las conexiones RDP son parte de la rrecomendaciones. Las recomendaciones del FBI son del mismo orden, pidiendo a las empresas que estén especialmente atentas a las vulnerabilidades de seguridad detectadas recientemente en el protocolo RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE -2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108).
Aucun commentaire:
Enregistrer un commentaire