Los investigadores de Sophos observaron de cerca el ransomware Egregor. ¿Es el ransomware el heredero secreto de Maze?
El informe, "Egregor ransomware: heredero aparente de Maze", se basa en varios incidentes que involucran a Egregor desde septiembre. Los investigadores de Sophos encontraron, entre otras cosas:
- Diferentes tácticas, técnicas y procedimientos (TTP) en ataques de diferentes originadores, que muestran cuánto los clientes criminales de RaaS pueden variar sus enfoques de ataque y, por lo tanto, dificultar la defensa.
- Similitudes con Maze Ransomware, tales como: B. Uso de los algoritmos de encriptación ChaCha y RSA
- Conexiones entre Egregor y Sekhmet (Egregor es un derivado de Sekhmet)
- Similitudes con los ataques de ransomware Ryuk. En un incidente investigado por el equipo de respuesta rápida de Sophos, usando Cobalt Strike, copiando archivos en el directorio C:\perflogs y usando SystemBC, un proxy de red Tor malicioso, todos están de acuerdo con el comportamiento observado durante un ataque a Ryuk en septiembre de 2020.
Sean Gallagher, investigador sénior de seguridad de Sophos explica
“Los resultados muestran lo difícil que puede ser para los equipos de seguridad de TI defenderse de los ataques de ransomware como servicio, ya que los operadores de ransomware a menudo dependen de múltiples canales de distribución de malware para llegar a sus víctimas. Esto crea un perfil de ataque más diverso que es más difícil de predecir”.
Los TTP de los tipos de ransomware aumentaron significativamente
Según los investigadores, la cantidad de tácticas, técnicas y procedimientos (TTP) utilizados por cada tipo de ransomware ha aumentado significativamente. Por lo tanto, una estrategia de defensa bien pensada es esencial. "Dado que el grupo detrás de Egregor afirma vender datos robados si no se paga el rescate, tener una buena copia de seguridad de los datos de la organización no es suficiente para mitigar el ransomware", continuó Gallagher. "Bloquear las rutas comunes de exfiltración de datos, como evitar las conexiones Tor, puede dificultar el robo de datos". un equipo experto en caza de amenazas”.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.