FBI emite alerta de ataques con ransomware Egregor a escala mundial

El Buró Federal de Investigaciones de Estados Unidos, mejor conocido como FBI, emitió recientemente una alerta a compañías a nivel mundial, acerca de ataques con el ransomware Egregor. Así lo divulgó recientemente la agencia de gobierno, a través de un comunicado oficial.

En la notificación emitida el pasado 6 de enero, la principal agencia de investigación criminal del Departamento de Estados Unidos indicó que el malware de rescate Egregor lleva más de 150 compañías víctimas alrededor del mundo, comprometiendo sus redes computacionales, robando información confidencial, encriptando archivos y extorsionando a las empresas para que paguen un rescate, por lo general en criptomonedas.

El FBI explicó que la primera vez que observó un ataque de Egregor fue en septiembre del año pasado. La agencia de gobierno expuso que este ransomware se caracteriza por imprimir las notas de rescate desde las computadoras de las compañías víctimas de sus ataques. En dichas notas, los ciberdelincuentes exponen los pasos a seguir para que representantes de las empresas atacadas puedan comunicarse con ellos, a través de chats en línea, y pagar el rescate que exigen.

Los hackers exigen un monto de rescate para desencriptar los archivos cifrados y devolver la información robada; en caso de que la víctima se rehúse a ceder a la extorsión, los operadores de Egregor señalan que publicarán todos los archivos en un sitio web público.

Cabe destacar que no existe un grupo único de operadores del ransomware Egregor, puesto que es un malware de rescate que funciona como Modelo de Servicio (Ransomware as a Service), de manera que este software malicioso puede ser distribuido por una gran variedad de participantes.

Cada uno de estos participantes puede emplear una forma distinta de propagación del ransom malware. Al usarse diferentes tácticas para los ataques con Egregor, se dificulta aún más evitar este tipo de ciberamenaza. De acuerdo con el FBI, entre las modalidades empleadas en ataques de Egregor se han empleado “correos de phishing con archivos adjuntos maliciosos con el objetivo de acceder a redes corporativas y a cuentas personales de empleados con los que se comparte acceso a redes corporativas y dispositivos“, así como también vulnerando servicios de VPN y protocolos de escritorio remoto.

Otra característica que destacó el FBI de Egregor es que se puede desplazar lateralmente dentro de la redes atacadas, infectando a todos los servidores. Una vez que ha comprometido la red, el software malicioso utiliza una variedad de herramientas para extraer y robar información confidencial de las compañías.

De acuerdo con Malwarebytes Labs, Egregor fue detectado por primera vez en el tercer trimestre de 2020, por lo que se trata de un software malicioso prácticamente nuevo “que parece decidido a abrirse camino hacia la cima“.

La firma de seguridad cibernética agregó que Egregor es considerado una variante del ransomware Sekhmet, ya que tienen similitudes en cuanto a “la ofuscación, las llamadas a la API y la nota de rescate”. Entre sus víctimas destacan las compañías Ubisoft, Barnes & Noble y Kmart.

Imagen destacada por Pete Linforth/ pixabay.com