martes, 17 de noviembre de 2020

Cencosud empresa chilena recibe un ciberataque con un nuevo ransomware


nuevo ransomware Egregor

      La semana pasada se confirmó que la multinacional Cencosud habría sido afectada por un nuevo ransomware llamado Egregor. Según han indicado en las redes sociales este ataque habría afectado a las tiendas del conglomerado en la región de Valparaíso (Chile) y en varios países de América del sur, incluso Argentina. La nota de rescate al parecer fue impresa en alguno de sus supermercados de la cadena alrededor de las 20 horas del viernes de la semana pasada.

Según un análisis realizado por Appgate, el ransomware lleva desde septiembre de este año activo, en este poco tiempo ya se ha vinculado el ransomware a varios ataques contra organizaciones como GEFCO, Ubisoft, Crytek y Barnes & Noble. Según los investigadores, muchos de los afiliados del ransomware Maze se han mudado a esta nueva familia desde el cese de las actividades de Maze el 1 de noviembre.

Los clientes pueden acceder al malware mediante una suscripción, este tipo de ransomware se conoce como Ransomware-as-a-Service (RaaS). El modus operandi del ransomware es el habitual donde una vez la víctima ha sido infectada y sus archivos han sido cifrados, los ciberdelincuentes dejan una nota de rescate en los sistemas de la víctima o bien algún otro método donde la víctima pueda leer la nota, en esta nota indica a la víctima que tiene un periodo de tiempo para ponerse en contacto con el grupo de ciberdelincuentes, a través del navegador Tor. Además, en la nota de rescate se indica a la víctima que si no se efectuase el pago las consecuencias sería hacer público los datos robados.

Egror registró dos dominios, uno el 6 de septiembre de 2020 y el segundo el 19 de octubre de 2020, además, de un dominio .onion. Los dominios que tiene este grupo son intermitentes y es por ello por lo que en la página principal del dominio Onion, hay un gran descargo de responsabilidad con un aviso.

En la nota de rescate, además de indicar que se devolverán los archivos cifrados, también se recomendara a la compañía que ha sido víctima algunas recomendaciones para proteger la red, actuando de esta forma como un equipo de pentest.

Egregor utiliza una técnica de anti-ofuscación y empaquetamiento para evitar el análisis del propio ransomware. Esta funcionalidad es muy similar a la de Sekhmet, donde la carga útil del ransomware solo puede ser descifrada si se proporciona la clave correcta por línea de comandos, esto conlleva que no se pueda analizar.

En términos de negociación Egregor es posiblemente el más agresivo en cuanto a términos de negociación se refiere. En este caso se le dan solo 72 horas a la víctima para realizar un contacto con el actor de la amenaza. En caso de no realizar el contacto en el tiempo estipulado en la nota de rescate, el grupo procesa los datos de la víctima para su publicación. El pago se realiza mediante un chat especial que es asignado a cada víctima y el pago se recibe en bitcoins.


No hay comentarios:

Publicar un comentario