La Oficina Federal de Investigaciones de los Estados Unidos (FBI) ha enviado una alerta de seguridad advirtiendo a las empresas del sector privado que la operación de rescate de Egregor tiene como objetivo extorsiónar a empresas de todo el mundo.

El FBI dice en una Notificación de Industria Privada (PIN) TLP:WHITE compartida el miércoles que Egregor afirma que ya ha golpeado y comprometido a más de 150 víctimas desde que la agencia observó por primera vez esta actividad maliciosa en septiembre de 2020.

«Debido al gran número de actores involucrados en el despliegue de Egregor, las tácticas, técnicas y procedimientos (TTPs) utilizados en su despliegue pueden variar ampliamente, creando importantes desafíos para la defensa y la mitigación», dice el servicio de inteligencia y seguridad de EE.UU..

«El software de rescate de Egregor utiliza múltiples mecanismos para poner en peligro las redes empresariales, incluyendo el objetivo de la red empresarial y las cuentas personales de los empleados que comparten el acceso con las redes o dispositivos empresariales».

Los correos electrónicos de phishing con archivos adjuntos maliciosos y el Protocolo de Escritorio Remoto (RDP) inseguro o las Redes Privadas Virtuales son algunos de los vectores de ataque utilizados por los actores de Egregor para obtener acceso y moverse lateralmente dentro de las redes de sus víctimas.

Egregor utiliza Cobalt Strike, Qakbot/Qbot, Advanced IP Scanner y AdFind para la escalada de privilegios y el movimiento lateral de la red.

Los afiliados también usan 7zip y Rclone, a veces camuflados como un proceso de Service Host (svchost), para la exfiltración de datos antes de desplegar las cargas de rescate en la red de las víctimas.

El FBI también compartió una lista de medidas de mitigación recomendadas que deberían ayudar a defenderse de los ataques de Egregor:

  • Hacer una copia de seguridad de los datos críticos fuera de línea.
  • Asegurarse de que las copias de los datos críticos están en la nube o en un disco duro externo o dispositivo de almacenamiento.
  • Asegurar las copias de seguridad y asegurar que los datos no sean accesibles para su modificación o eliminación del sistema donde residen los datos.
  • Instale y actualice regularmente el software antivirus o antimalware en todos los hosts.
  • Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas.
  • Utilice la autenticación de dos factores y no haga clic en archivos adjuntos o enlaces no solicitados en los correos electrónicos.
  • Dé prioridad a la aplicación de parches en los productos y aplicaciones de acceso remoto de cara al público, incluyendo las recientes vulnerabilidades RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108).
  • Revise los archivos .bat y .dll sospechosos, los archivos con datos de reconocimiento (como los archivos .log) y las herramientas de exfiltración.
  • Configurar de forma segura el RDP restringiendo el acceso, usando autenticación multifactorial o contraseñas fuertes.

Operación RaaS con antiguos afiliados de Maze como socios
Egregor es una operación de Ransomware as a Service que se asocia con afiliados que piratean redes para desplegar cargas útiles de rescate, distribuyendo las ganancias del pago del rescate con los operadores de Egregor utilizando una división 70/30.

Después de infiltrarse en las redes de las víctimas, también roban archivos antes de cifrar los dispositivos y los utilizan como palanca bajo la amenaza de filtrar públicamente los datos robados si no se paga el rescate.

Egregor comenzó a operar después de que Maze cerrara su operación, con muchos de los afiliados de Maze cambiando inmediatamente al RaaS de Egregor como le dijeron los actores de la amenaza a BleepingComputer.

Desde septiembre, los afiliados de Egregor han violado y encriptado los sistemas de múltiples organizaciones de alto perfil, incluyendo pero no limitado a  UbisoftKmartRandstadBarnes and NobleCencosudCrytek y Metro Vancouver’s transportation agency TransLink.

No pague rescates, informe de los ataques de los rescates.
También se aconseja a las víctimas que no paguen los rescates, ya que ello no garantiza la restauración satisfactoria de los datos cifrados y además financia sus operaciones futuras y las anima a continuar sus ataques.

La agencia insta a las víctimas a que informen de cualquier incidente relacionado con el rescate en el que estén involucrados para ayudar a los investigadores a seguir la pista de los agentes de la amenaza que se encuentran detrás de ellos y para disuadir futuros ataques.

El FBI ha pedido a las empresas y personas afectadas por los programas de rescate que informen de cualquier infección desde hace tiempo para poder comprender mejor la amenaza y las razones jurídicas para procesar a las bandas de secuestradores y a sus operadores.

La OFAC (Oficina de Control de Activos Extranjeros del Departamento del Tesoro) dijo el año pasado que las organizaciones que ayudan a las víctimas de los rescates a pagarlos también se enfrentan a riesgos de sanciones, ya que sus acciones podrían violar las normas de la OFAC.

Se instó a las víctimas a que se pusieran en contacto inmediatamente con la OFAC si creen que una solicitud de pago de un rescate puede entrañar un nexo de sanción para evitar los posibles riesgos de sanción.

Fuente: Bleepingcomputer