A medida que los desarrolladores del ransomware Maze anuncian su salida de la escena del malware, ahora se cree que los clientes están recurriendo a Egregor como sustituto. Lo que ha separado a Maze en el pasado de muchos otros grupos de amenazas son las prácticas posteriores a la infección.
En las últimas horas se ha confirmado que las empresas Cencosud (Jumbo, Easy, Paris y Santa Isabel) habrían sido afectados por Egregor. Los sistemas de algunas tiendas del conglomerado del retail en la región de Valparaíso (Chile) y según se indica en redes sociales, también en el resto del país e incluso en Argentina. Al parecer las notas de rescate se imprimieron en varios supermercados de la cadena alrededor de las 20 horas de ayer viernes.
El ransomware Maze atacaba un recurso corporativo, cifraba archivos o simplemente se enfocaba en robar datos patentados, y luego exigía el pago, que a menudo alcanzaba las seis cifras, en criptomonedas. Si los intentos de extorsión fallan, el grupo creaba una entrada en un portal dedicado de la Dark Web y liberaba los datos que habían robado. Se informa que Canon, LG, and Xerox se encuentran entre las organizaciones afectadas por Maze.
El 1 de noviembre, el grupo Maze anunció su «retiro», señalando que no había un «sucesor oficial» y que el soporte para el malware finalizaría después de un mes. Malwarebytes notó una caída en las infecciones desde agosto y por eso dice que la retirada de la escena «no es realmente» un movimiento inesperado.
Sin embargo, eso no significa que los clientes anteriores de Maze también abandonarían el mercado, y los investigadores sospechan que «muchos de sus afiliados se han mudado a una nueva familia» conocida como Egregor, una escisión del Ransom Sekhmet. Según un análisis realizado por Appgate, Egregor ha estado activo desde mediados de septiembre de este año, y en este tiempo, ha estado vinculado a presuntos ataques contra organizaciones como GEFCO, Barnes & Noble y a las empresas de videojuegos Crytek y Ubisoft.
Egregor también se ha asociado con el modelo Ransomware-as-a-Service (RaaS), en el que los clientes pueden suscribirse para acceder al malware. Según muestras de notas de rescate, una vez que una víctima ha sido infectada y sus archivos cifrados, los operadores exigen que establezcan contacto a través de Tor o un sitio web dedicado para organizar el pago. Además, la nota amenaza con que si no se paga un rescate en tres días, los datos robados se harán públicos.
Egregor mantiene al menos un dominio .onion y dos dominios web tradicionales. El primer dominio se registró el 6 de septiembre de 2020 y el segundo el 19 de octubre de 2020.
En el momento de escribir este artículo, ambos dominios eran intermitentes y probablemente por eso en la página principal del dominio Onion, hay un gran descargo de responsabilidad con este aviso:
La nota de rescate de Egregor también dice que, además de descifrar todos los archivos en caso de que la compañía pague el rescate, también brindarán recomendaciones para proteger la red de la compañía, «ayudándolos» a evitar ser violados nuevamente, actuando como una especie de equipo de pentest.
Egregor utiliza una variedad de técnicas anti-ofuscación y empaquetamiento del payload para evitar su análisis. Se considera que la funcionalidad del ransomware es similar a la de Sekhmet. «En una de las etapas de ejecución, la carga útil de Egregor solo se puede descifrar si se proporciona la clave correcta a través de la línea de comando, lo que significa que el archivo no se puede analizar, ya sea manualmente o usando una sandbox».
El ransomware Egregor suele ser distribuido por los delincuentes después de una violación de la red corporativa. La muestra de malware es un archivo DLL que debe iniciarse con la contraseña correcta proporcionada como argumento de línea de comando. La DLL generalmente se descarga de Internet.
En ocasiones, los dominios utilizados para difundirlo explotan nombres o palabras utilizadas en la industria de la víctima.
Egregor es probablemente la familia de ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 horas para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación. El pago del ransomware se negocia y acuerda a través de un chat especial asignado a cada víctima y el pago se recibe en BTC.
Luego de ejecutarse, termina los siguientes procesos:
Esto tiene como objetivo convertir archivos potencialmente valiosos en los que se pueda escribir, como documentos o bases de datos que puedan haber estado en uso en el momento de la infección.
Además, algunos programas que suelen utilizar los investigadores, por ejemplo, procmon o dumpcap, también se enumeran para su terminación para dificultar aún más el análisis dinámico.
Egregor utiliza un esquema de cifrado de archivos híbrido basado en el cifrado de flujo ChaCha y el cifrado asimétrico RSA. La clave pública maestra RSA-2048 de los delincuentes está incrustada en el cuerpo del troyano.
Cuando se ejecuta en la máquina de una víctima, Egregor genera un nuevo par único de claves RSA de sesión. La clave RSA privada de la sesión es exportada y cifrada por ChaCha con una clave generada de forma única más un nonce, luego la clave y el nonce son cifrados por la clave RSA pública maestra.
Los resultados se guardan en un archivo binario (en nuestro caso se llama C:\ProgramData\dtb.dat), así como una cadena codificada en Base64 en las notas de rescate.
Para cada archivo de datos que procesa Egregor, genera una nueva clave ChaCha de 256 bits y un nonce de 64 bits, cifra el contenido del archivo por ChaCha, luego los cifra usando la clave pública RSA de la sesión y los guarda junto con alguna información auxiliar al final del archivo cifrado.
Los últimos 16 bytes de cada archivo cifrado se componen de un marcador dinámico: un DWORD aleatorio y este mismo DWORD xor’ed con el valor 0xB16B00B5 que equivale a ‘BIGBOOBS’ en el llamado lenguaje leet, según Wikipedia.
La página principal del sitio web de filtración de datos contiene noticias sobre empresas atacadas recientemente junto con algunos comentarios sarcásticos escritos por el grupo de ransomware. La sección de archivos del sitio enumera las víctimas y los enlaces para descargar los datos robados.
IOCs
Por ahora se está recomendando bloquear las siguientes IP relacionadas al ataque a Cencosud.
- C&C
- 185.82.126.8
- IPs
- 185.238.0[.]233
- 45.153.242[.]129
- 91.199. 212[.]52
- 217.8.117[.]147
- Dominios principales
- www.egregor[eliminado].*
- egregor[eliminado]*.onion
- *egregor.top
- sekhmet*.*
- Otros dominios:
- ozcsgqmpjwromp[.]com
- wsjlbbqemr23[.]com
- xjkwkzdyfcabhr[.]com
- fvkmmwlzvsqdod[.]com
- dmvbdfblevxvx[.]com
- tczzzlwpss[.]com
- txvzmlfzlklhtf[.]com
- xtngmptkcqk[.]biz
- ihvxmjmdvbn[.]biz
- qukqkdcjriz[.]ws
- mtafdrvjmif[.]com
- kcijbcqvdfv[.]org
- tnlttlmxuhc[.]com
- txmxffytum[.]biz
- vjzwvzjmoc[.]com
- ktmjqztagkm[.]org
- saalzvhzgkk[.]cc
- bvhtxgzwob[.]cc
- vrfgwwcesy[.]org
- uozwtmgpogg[.]info
- qammsjskgkm[.]cc
- jfbmnpxgpi[.]ws
- hvwvrxpinnv[.]cn
- mshrgnslzmqobm[.]com
- twcdkhmttfeipv[.]com
- Posibles vectores de ataque no confirmado: vulnerabilidad en Oracle, RDP o Insider.