TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Cifrado de información.
Región Inicial: Estados Unidos.
Comunidad objetivo: Sector privado.
ID MISP: 4682 y 4723.

Descripción

El Buró Federal de Investigaciones (FBI) de Estados Unidos ha emitido un comunicado advirtiendo a las organizaciones sobre una campaña del ransomware “Egregor”, activo desde septiembre de 2020 y el cual se cree que opera bajo la modalidad de “ransomware como servicio (Raas)”. Egregor ha llevado a cabo diversas campañas en todo el mundo, obteniendo más de 15 mil víctimas de diferentes sectores.

Los operadores de Egregor, al igual que otros grupos criminales, roban la información antes de cifrarla para poder publicarla en un sitio de Internet, esto si la víctima no cumple con el rescate monetario solicitado después de tres días. Cabe mencionar que los atacantes ofrecen asesoramiento de ciberseguridad a los afectados que paguen el rescate como un “bono adicional”, sin embargo, se desconoce hasta el momento las intenciones de ello.

A pesar de que Egregor es distribuido por diferentes medios, se ha identificado que principalmente suele propagarse mediante correos electrónicos phishing con archivos maliciosos adjuntos a cuentas corporativas personales de los empleados, o se aprovecha de fallas en el protocolo de escritorio remoto (RDP), servicios de VPN y de vulnerabilidades con los identificadores CVE-2020-0688 (CVSS v3.1: 8.8 [Alto]), un error de ejecución de código remoto en Microsoft Exchange, CVE-2018-8174 (CVSS v3.0: 7.5[Alto]) presente en VBScript, CVE -2018-4878 (CVSS v3.0: 9.8[Crítico]) y CVE-2018-15982 (CVSS v3.0: 8.8[Crítico]) presentes en Adobe Flash Player.

Primeramente, las victimas suelen descargar y ejecutar el código malicioso conocido como “Qbot” para permitir que el atacante pueda establecer conexión con el equipo. Para moverse lateralmente, los atacantes utilizan herramientas de Windows y emplean “Cobalt Strike” para ejecutar un Script y recopilar información de la red y copiar archivos de los equipos. Después de filtrar los documentos, comienzan a cifrar la información con Egregor, el cual fue configurado de forma manual y ejecutado con “rundll32[.]exe2” para evitar ser detectado.

Los archivos cifrados pueden ser imágenes, videos, documentos, bases de datos, páginas web, archivos JavaScript y ejecutables. Después, Egregor deja una nota de rescate con el nombre “RECOVER-FILES[.]txt:” con las instrucciones sobre como navegar en Tor para encontrar el portal Web de Egregor y para cargar el archivo de rescate y continuar con el pago correspondiente.

Es importante mencionar que, de ser afectados por este ransomware, los expertos recomiendan no pagar el rescate, ya que hacerlo no garantiza que los atacantes brinden el software para descifrar los archivos o que este funcione totalmente.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • 375083934dd17f0532da3bd6770ab25
    • 27105821263afeeccca05b43ea8dac4
    • b7ccaa2ae6a5b96e3110ebcbc4311f6
    • 96df334b5ed70473ec6a58a545208b6
    • 3c7a97da396085eb48953e638c3c9c6
    • d6aa29e98d3f54b8c891929c34eb426
    • f9fcbdf7ad86583eb2bbcaa5741d88a
    • 922987d1488e2dede7e39a99faf98bb
    • 1aa0f26f557addd45e0d9fa4afecf15
    • 5c320bc5258d8fa86aa9ffd876291d3
    • 1bc3a2409991325c6e71a06f6b7b881
    • ba3a9d73903bd252f8d99a682d60858
    • c33fea4c2a9bbca3559142838441f84
    • e3110dce011088cd4add1950a49182f
    • 66f8d920f85f9afffcf0865a98efe69
    • 4a7085f729b68073b5c67bbc66829cc
    • f600974c45eec97016c1259e769a4e
    • de24cec66ef9d1042be7cf12b87cfc4
  • SHA-1:
    • 3cc616d959eb2fe59642102f0565c0e55ee67dbc
    • fa33fd577f5eb4813bc69dce891361871cda860c
    • ac6d919b313bbb18624d26745121fca3e4ae0fd3
    • f6ad7b0a1d93b7a70e286b87f423119daa4ea4df
    • 8768cf56e12a81d838e270dca9b82d30c35d026e
    • ceca1a691c736632b3e98f2ed5b028d33c0f3c64
    • 03cdec4a0a63a016d0767650cdaf1d4d24669795
    • beb48c2a7ff957d467d9199c954b89f8411d3ca8
    • f1603f1ddf52391b16ee9e73e68f5dd405ab06b0
    • f0215aac7be36a5fedeea51d34d8f8da2e98bf1b
    • 38c88de0ece0451b0665f3616c02c2bad77a92a2
    • 95aea6b24ed28c6ad13ec8d7a6f62652b039765e
    • 948ef8caef5c1254be551cab8a64c687ea0faf84
    • 5c99dc80ca69ce0f2d9b4f790ec1b57dba7153c9
    • c9da06e3dbf406aec50bc145cba1a50b26db853a
    • 50c3b800294f7ee4bde577d99f2118fc1c4ba3b9
    • 3c03a1c61932bec2b276600ea52bd2803285ec62
    • 56eed20ea731d28d621723130518ac00bf50170d
    • f7bf7cea89c6205d78fa42d735d81c1e5c183041
  • SHA-256:
    • c3c50adcc0a5cd2b39677f17fb5f2efca52cc4e47ccd2cdbbf38815d426be9e1
    • ee06c557f1acd5c4948b1df0413e49f3885f8ac96185a9d986b91a1231444541
    • f0adfd3f89c9268953f93bfdfefb84432532a1e30542fee7bddda14dcb69a76c
    • 4ea8b8c37cfb02ccdba95fe91c12fb68a2b7174fdcbee7ddaadded8ceb0fdf97
    • 3fc382ae51ceca3ad6ef5880cdd2d89ef508f368911d3cd41c71a54453004c55
    • 3e5a6834cf6192a987ca9b0b4c8cb9202660e399ebe387af8c7407b12ae2da63
    • 004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a
    • 6ad7b3e0873c9ff122c32006fdc3675706a03c4778287085a020d839b74cd780
    • 14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4
    • 3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f
    • 2b3518937fd231560c7dc4f5af672a033b1c810d7f2f82c8151c025ce75775bf
    • 444a6897058fd4965770167b15a2ab13e6fd559a3e6f6cf5565d4d3282587459
    • 932778732711cd18d5c4aabc507a65180bf1d4bd2b7d2d4e5506be4b819359e
    • 3aad14d200887119f316be71d71aec11735dd3698a4fcaa50902fce71bdccb07
    • 608b5bf065f25cd1c6ac145e3bcdf0b1b6dc742a08e59ec0ce136fe5142774e9
    • a9d483c0f021b72a94324562068d8164f8cce0aa8f779faea304669390775436
    • 8483aaf9e1fa5b46486c9f2a14c688c30d2006e88de65d0295a57892de0bf4c9
    • 9017c070ad6ac9ac52e361286b3ff24a315f721f488b53b7aaf6ac35de477f44
    • 765327e1dc0888c69c92203d90037c5154db9787f54d3fc8f1097830be8c76ab
    • 4ea8b8c37cfb02ccdba95fe91c12fb68a2b7174fdcbee7ddaadded8ceb0fdf97
    • 8483aaf9e1fa5b46486c9f2a14c688c30d2006e88de65d0295a57892de0bf4c9
    • 3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f
    • 2b3518937fd231560c7dc4f5af672a033b1c810d7f2f82c8151c025ce75775bf
    • 444a6897058fd4965770167b15a2ab13e6fd559a3e6f6cf5565d4d3282587459
    • c3c50adcc0a5cd2b39677f17fb5f2efca52cc4e47ccd2cdbbf38815d426be9e1
    • 004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a
    • 608b5bf065f25cd1c6ac145e3bcdf0b1b6dc742a08e59ec0ce136fe5142774e9
    • 3e5a6834cf6192a987ca9b0b4c8cb9202660e399ebe387af8c7407b12ae2da63
    • 765327e1dc0888c69c92203d90037c5154db9787f54d3fc8f1097830be8c76ab
    • 9017c070ad6ac9ac52e361286b3ff24a315f721f488b53b7aaf6ac35de477f44
    • 6dbe1d2de299359036520f15490834a6ac40b665cf5cd249379d65242af00b44
    • 3b13b6f1d7cd14dc4a097a12e2e505c0a4cff495262261e2bfc991df238b9b04
    • a9d483c0f021b72a94324562068d8164f8cce0aa8f779faea304669390775436
    • 14da004cc96b910fb75abb86df09e318d92f4fb8dda39c8bd6a8e0601b6605d8
    • 311baa4d4229a8d6802d82a8d9935592bf9a7b6aaf0949f0fa0b094592f5e8a7
    • ee06c557f1acd5c4948b1df0413e49f3885f8ac96185a9d986b91a1231444541
    • 9017c070ad6ac9ac52e361286b3ff24a315f721f488b53b7aaf6ac35de477f44
    • e6b9d0d356223ed81e635c5702dd47bca1aaeae3471827db03470713e453d54
    • 932778732711cd18d5c4aabc507a65180bf1d4bd2b7d2d4e5506be4b819359e
    • 3e5a6834cf6192a987ca9b0b4c8cb9202660e399ebe387af8c7407b12ae2da63
    • 765327e1dc0888c69c92203d90037c5154db9787f54d3fc8f1097830be8c76ab
    • b027467332243c8186e59f68ff7c43c9e212d9e5074fedf003febcfedad4381a
    • e53ab9a892321f651b73c8468db43b1d82c8c9d7fb8d0131199f501c6a0bafa7
    • 1399e4b4ec1c7f3e38048d526f85472c466421dcd00ecd4515605af191ac61ee
    • 7fe8d3e63bad6a1628376643a4fe43b9858af5426da808576900b7753bce7614
    • 34c84f171cd6c627d116f9c571b35e11541d68abfce36c852d2d787149f44672
    • 81afd15e8c4d3ae0e34ede646551fe2ed6872d2142f642835cbbbf7dc524131b
    • df5d9251afabd579f85de2f4d0c90150693fa73631317a39d08749d366bf37fd
    • a7940b9e8ad2a54368999366fe2c50f429008dfb0817000693077e1d1f107d6e
    • af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d
    • aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7
    • a5989c480ec6506247325652a1f3cb415934675de3877270ae0f65edd9b14d13
    • a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332
    • 9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb
    • 967422de1acc14deb7e7ce803d86aff44e2652bfcd550e3a34c2e37abc883dee
    • 6a441734b34cdee31a01164140b0c88966fbb4358dcb63a14ae6824f09e9476f
    • 6675c204844476dd8ce59ead0eac082754ded599036551526a8e2c509a14074
    • 4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321
    • 42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb
    • 4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345
    • 3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f
    • 3fc382ae51ceca3ad6ef5880cdd2d89ef508f368911d3cd41c71a54453004c55
    • 319ec80eae65c1d39df27c80b52fe7fe1fadc6e9ceabf72f57d1b29e0467ac02
    • 2d563dd113a02fdf452544ae2fd7c94162be6db8fb7a287a3474a6ab998159fd
    • 14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4
    • 004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a
    • b9b71eb04d255b21e3272eef5f4c15d1c208183748dfad3569efd455d87879c6
  • URLs:
    • hxxp[:]//egregor4u5ipdzhv[.]onion/
    • hxxps[:]//egregornews[.]com/
    • hxxp[:]//egregoranrmzapcv.onion
    • hxxp[:]//185[.]238[.]0[.]233/newsvc[.]zip
    • hxxp[:]//185[.]238[.]0[.]233/hnt[.]dll
    • hxxp[:]//185[.]238[.]0[.]233/sed[.]dll
    • hxxp[:]//185[.]238[.]0[.]233/b[.]dll
    • hxxp[:]//185[.]238[.]0[.]233/p[.]dll

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como SIEM, SOAR, IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la misma.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Realizar copias de seguridad de la información de forma periódica y almacenarlos en sitios aislados.
  • Concientizar a los usuarios sobre este tipo de campañas para evitar abrir correos electrónicos sospechosos.
  • Mantener actualizados sus sistemas, priorizando aquellos que se encuentran en ambientes productivos o expuestos a Internet.

Referencias