La ciberdelincuencia no deja de hacer de las suyas. A menudo se reportan casos de personas u organizaciones que han sido víctimas de ataques cibernéticos. Personas mal intencionadas que buscan vulnerar nuestros sistemas informáticos, y usar información confidencial para pedir un rescate a cambio, en su mayoría a través de bitcoins.
En las últimas semanas una nueva modalidad de ransomware se ha venido registrando, se trata de Egregor. Hasta el momento, se han reportado varios incidentes con este malware, entre los que destacan ataques en contra Barnes & Noble, Ubisoft y Crytek, ejecutados en octubre.
Con respecto al ataque a Barnes & Noble, los maleantes dijeron tener datos financieros bastante delicados sobre esta librería. De igual modo, aseguraron haber “robado el código fuente” del juego de Ubisoft, Watchdogs: Legion, el cual todavía no se lanza al mercado. Caso similar reportó Crytek, empresa que manifestó haber perdido 400 MB de datos relacionados con el shooter “Warface”.
De acuerdo a un informe publicado por Digital Shadows, a partir de este 17 de noviembre, Egregor ha cobrado más de 71 víctimas nivel mundial, de las cuales 19 son industrias verticales. Este también señala que un 38% de los ataques se orientan al sector de bienes y servicios industriales, y un 83% con sede en Estados Unidos. ¿Por qué EE.UU. y no otros países?
Pero, ¿Cómo opera Egregor? Es poco lo que se conoce sobre este ransomware, ya que tiene muy poco tiempo en el mundo cibernético. Sin embargo, el equipo de investigación de Digital Shadows sugiere que los hackers llevan “algún tiempo” trabajando en esta nueva modalidad. ¿Por qué? Porque sus ataques son muy sofisticados y han ido en auge de crecimiento.
Egregor se caracteriza por soltar parte de la información robada para hacerles ver a las víctimas que efectivamente han violentado sus sistemas. Obviamente, con el propósito de obtener dinero a cambio.
Windows es el más vulnerable ante Egregor, según informe
El grupo de investigadores señala que este código malicioso “mantiene múltiples técnicas anti-análisis, como la ofuscación de código y cargas útiles empaquetadas, lo que dificulta el análisis del malware”. Este ransomware se vale de las API de Windows para cifrar datos de carga útil, lo que ocasiona que los datos no se puedan descifrar. Al menos que la empresa logre hacerlo, lo cual es bastante difícil, según lo reportado hasta ahora.
Este malware encripta los archivos y adjunta una nota de rescate con un mensaje que indica a las víctimas “que descarguen el TOR del navegador web oscuro y se comuniquen con sus desarrolladores dentro de los próximos tres días”. En caso de que la víctima no cumple con lo requerido, la información se publicará en el sitio de fuga de datos (DLS) de “Egregor News” para uso público.
¿Cómo puedo protegerme de este nuevo ransomware? La respuesta está en la prevención, manteniendo tus sistemas actualizados, realizando respaldos de información y evitar caer en phishing.