La semana pasada se confirmó que la multinacional Cencosud habría
sido afectada por un nuevo ransomware llamado Egregor. Según han indicado en las
redes sociales este ataque habría afectado a las tiendas del conglomerado en la
región de Valparaíso (Chile) y en varios países de América del sur, incluso Argentina.
La nota de rescate al parecer fue impresa en alguno de sus supermercados de la
cadena alrededor de las 20 horas del viernes de la semana pasada.
Según un análisis realizado por Appgate, el ransomware lleva
desde septiembre de este año activo, en este poco tiempo ya se ha vinculado el
ransomware a varios ataques contra organizaciones como GEFCO, Ubisoft, Crytek y
Barnes & Noble. Según los investigadores, muchos de los afiliados del ransomware
Maze se han mudado a esta nueva familia desde el cese de las actividades de
Maze el 1 de noviembre.
Los clientes pueden acceder al malware mediante una
suscripción, este tipo de ransomware se conoce como Ransomware-as-a-Service
(RaaS). El modus operandi del ransomware es el habitual donde una vez la víctima
ha sido infectada y sus archivos han sido cifrados, los ciberdelincuentes dejan
una nota de rescate en los sistemas de la víctima o bien algún otro método donde
la víctima pueda leer la nota, en esta nota indica a la víctima que tiene un
periodo de tiempo para ponerse en contacto con el grupo de ciberdelincuentes, a
través del navegador Tor. Además, en la nota de rescate se indica a la víctima
que si no se efectuase el pago las consecuencias sería hacer público los datos
robados.
Egror registró dos dominios, uno el 6 de septiembre de 2020
y el segundo el 19 de octubre de 2020, además, de un dominio .onion. Los
dominios que tiene este grupo son intermitentes y es por ello por lo que en la
página principal del dominio Onion, hay un gran descargo de responsabilidad con
un aviso.
En la nota de rescate, además de indicar que se devolverán los
archivos cifrados, también se recomendara a la compañía que ha sido víctima
algunas recomendaciones para proteger la red, actuando de esta forma como un
equipo de pentest.
Egregor utiliza una técnica de anti-ofuscación y empaquetamiento
para evitar el análisis del propio ransomware. Esta funcionalidad es muy
similar a la de Sekhmet, donde la carga útil del ransomware solo puede ser
descifrada si se proporciona la clave correcta por línea de comandos, esto
conlleva que no se pueda analizar.
En términos de negociación Egregor es posiblemente el más
agresivo en cuanto a términos de negociación se refiere. En este caso se le dan
solo 72 horas a la víctima para realizar un contacto con el actor de la
amenaza. En caso de no realizar el contacto en el tiempo estipulado en la nota
de rescate, el grupo procesa los datos de la víctima para su publicación. El
pago se realiza mediante un chat especial que es asignado a cada víctima y el
pago se recibe en bitcoins.