El ransomware Egregor amenaza a empresas de todo el mundo

  • Endpoint

ransomware

Los emails de phishing con archivos adjuntos maliciosos y el protocolo de escritorio remoto (RDP) o redes privadas virtuales inseguras, son algunos de los vectores de ataque utilizados por los actores de Egregor para tener acceso y moverse lateralmente dentro de las redes de sus víctimas.

Recomendados: 

Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar

Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar 

El FBI ha lanzado una alerta de seguridad advirtiendo a organizaciones del sector privado que el ransomware Egregor está extorsionando activamente a empresas de todo el mundo. Egregor habría atacado y comprometido a más de 150 víctimas desde que la agencia detecto por primera vez esta actividad maliciosa en septiembre de 2020.

Los correos electrónicos de phishing con archivos adjuntos maliciosos y el protocolo de escritorio remoto (RDP) o las redes privadas virtuales inseguras, son algunos de los vectores de ataque utilizados por los actores de Egregor para tener acceso y moverse lateralmente dentro de las redes de sus víctimas. Egregor utiliza Cobalt Strike, Qakbot / Qbot, Advanced IP Scanner y AdFind para la escalada de privilegios y el movimiento lateral de la red. Los afiliados también están utilizando 7zip y Rclone, a veces camuflados como un proceso de host de servicio (svchost), para la exfiltración de datos antes de implementar las cargas útiles del ransomware en la red de las víctimas.

"Debido a la gran cantidad de actores involucrados en el despliegue de Egregor, y que las tácticas, técnicas y procedimientos (TTP) utilizados en su implementación pueden variar ampliamente, representa desafíos significativos para la defensa y la mitigación", señala el servicio de inteligencia y seguridad de Estados Unidos. El FBI ha compartido una lista de medidas de mitigación recomendadas para ayudar a defenderse de los ataques de Egregor:

• Realice copias de seguridad de los datos críticos off-line.

• Asegúrese de que las copias de los datos críticos estén en la nube o en un disco duro externo o dispositivo de almacenamiento.

• Proteja sus copias de seguridad y asegúrese de que no se pueda acceder a los datos para modificarlos o eliminarlos del sistema donde residen los datos.

• Instale y actualice periódicamente software antivirus o antimalware en todos los hosts.

• Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas.

• Utilice la autenticación de dos factores y no haga clic en archivos adjuntos o enlaces no solicitados en los correos electrónicos.

• Priorizar el parcheo de aplicaciones y productos de acceso remoto de cara al público.

• Revise archivos .bat y .dll sospechosos, archivos con datos de reconocimiento (como archivos .log) y herramientas de filtración.

• Configure RDP de forma segura restringiendo el acceso, utilizando autenticación multifactor o contraseñas fuertes.

TAGS Ransomware

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos