Egregor: Esta nueva variante podría ser la próxima gran amenaza de malware

Una nueva forma de ransomware se está volviendo cada vez más prolífica a medida que los ciberdelincuentes recurren a ella como un medio preferido para cifrar redes vulnerables en un esfuerzo por explotar bitcoins de las víctimas.

El ransomware Egregor surgió por primera vez en septiembre, pero ya se ha hecho notorio después de varios incidentes de alto perfil, incluidos ataques contra el librero Barnes & Noble, así como contra las compañías de videojuegos Ubisoft y Crytek, y Cencosud.

Según los investigadores de ciberseguridad de Digital Shadows, Egregor ya ha cobrado al menos 71 víctimas en 19 industrias diferentes en todo el mundo, y es probable que el grupo detrás de él recién esté comenzando después de planificar meticulosamente sus actividades.

«El nivel de sofisticación de sus ataques, la adaptabilidad para infectar a una gama tan amplia de víctimas y el aumento significativo de su actividad sugiere que los operadores de ransomware Egregor han estado desarrollando su malware durante algún tiempo y ahora lo están utilizando (maliciosamente), «, dijo Lauren Palace, analista de Digital Shadows.

Como todas las pandillas de ransomware, el motivo principal detrás de Egregor es el dinero y para tener la mejor oportunidad de extorsionar el pago, la pandilla usa lo que se ha convertido en una táctica común después de los ataques de ransomware, amenazando con liberar información privada robada a los servidores de las víctimas si ellos no pagan. 

En algunos casos, los atacantes publicarán un fragmento de información con la nota de rescate, como prueba de que hablan en serio.

Si bien Egregor ha impactado a organizaciones en una variedad de sectores en todo el mundo, parece haber algún elemento de focalización en los ataques: más de un tercio de las campañas se han dirigido al sector de bienes y servicios industriales y la gran mayoría de las víctimas en todos los sectores son en los EE.UU.

Una de las razones por las que Egregor ha aumentado repentinamente en números parece ser porque está llenando un vacío dejado por el aparente retiro de la banda de ransomware Maze.

«Dadas sus sofisticadas capacidades técnicas para dificultar el análisis de malware y dirigirse a una gran variedad de organizaciones en el panorama del ransomware, solo podemos concluir que el grupo de ransomware Egregor probablemente continuará en el futuro, lo que representa un riesgo cada vez mayor para su organización», dijo Place.

El ransomware Egregor todavía es nuevo, por lo que aún no está del todo claro cómo sus operadores comprometen las redes de las víctimas. Los investigadores señalan que el código está muy ofuscado de una manera que parece estar específicamente diseñada para evitar que los equipos de seguridad de la información puedan analizar el malware.

Sin embargo, el análisis de Digital Shadows sugiere que el phishing por correo electrónico podría ser uno de los métodos iniciales de compromiso de los ataques.

Las organizaciones podrían recorrer un largo camino para protegerse contra el ransomware Egregor y otros ataques de malware mediante el empleo de protocolos de seguridad de la información como la autenticación multifactor , por lo que si los atacantes comprometen un nombre de usuario y una contraseña, existe una barrera adicional que les impide explotarlos.