El comunicado advierte a las empresas que el ransomware Egregor, que aparentemente lleva más de 150 víctimas en distintas partes del mundo, está robando información y cifrando archivos para luego solicitar un rescate utilizando diferentes tácticas para lograr sus objetivos.
La agencia norteamericana afirmó el último miércoles en un comunicado en el que advierte principalmente a las empresas, que el ransomware Egregor, que hizo sus primeras apariciones en septiembre de 2020, ya lleva más de 150 víctimas en el mundo entre las cuales figuran varias compañías conocidas y de diferentes industrias.
Al igual que otros grupos de ransomware en actividad, luego de comprometer la red de una empresa primero roba información para posteriormente cifrar los archivos en los equipos infectados. Después, solicita a la víctima el pago de un rescate para devolver los archivos robados y recuperar el acceso a los archivos cifrados. En caso de no pagar, los criminales amenazan con publicar la información robada en un sitio de acceso público creado para este fin.
Como Ransomware as a service (RaaS), Egregor es distribuido gracias a la participación de varios actores, por lo que las tácticas empleadas para comprometer los equipos de sus víctimas pueden ser muy diferentes entre un ataque y otro, lo que representa un gran desafío para evitar esta amenaza, explica el FBI. En este sentido, “se ha visto ataques de Egregor utilizando correos de phishing con archivos adjuntos maliciosos con el objetivo de acceder a redes corporativas y a cuentas personales de empleados con los que se comparte acceso a redes corporativas y dispositivos”, agrega.
También se ha visto al ransomware abusar del protocolo de escritorio remoto (RDP) o de servicios de VPN para obtener acceso a las redes, utilizando también esto para moverse lateralmente dentro de las mismas. Tras lograr el compromiso y para lograr moverse lateralmente dentro de la red, utiliza algunas herramientas conocidas y también distribuidas por otros códigos maliciosos, como la herramienta de pentesting Cobalt Strike, Qbot (malware que también ha está siendo distribuido por Emotet durante 2020), la herramienta de escaneo de redes Advanced IP Scanner o AdFind. Para extraer y robar información se ha visto utilizar herramientas como 7zip o Rclone, menciona el comunicado.
Por último, y antes de brindar algunas recomendaciones para evitar ser víctima de Egregor, el FBI aconseja no pagar el rescate y recuerda que hacerlo promueven la actividad maliciosa de cibercriminales que al lograr monetizar sus ataques cuentan con los recursos para seguir operando y creciendo. También recuerda algo que ya hemos mencionado en reiteradas oportunidades, que pagar un rescate no asegura que la víctima recuperará el acceso a los archivos cifrados.
Para mitigar el posible impacto de este ransomware, se recomienda realizar backup de la información de forma periódica y mantener los respaldos con información sensible sin acceso a Internet. También se aconseja utilizar una solución de seguridad confiable en cada uno de los dispositivos y mantenerla actualizada, evitar hacer clic en archivos adjuntos que lleguen en correos que no esperamos recibir, implementar el doble factor de autenticación siempre que sea posible, y conectarse a redes seguras evitando principalmente redes Wi-Fi públicas.