Egregor: 5 tips para evitar la brecha de Cencosud

Recientemente publicamos una nota sobre los 10 errores que cometió Cencosud para que el vector Egregor vulnerara su perímetro, hoy te contamos lo que les hicieron.

Group-IB, ha descubierto que los operadores de QakBot (también conocido como Qbot) han abandonado ProLock por el ransomware Egregor. Egregor se ha distribuido activamente desde septiembre de 2020 y hasta ahora ha afectado al menos a 69 grandes empresas en 16 países.

La mayor demanda de rescate detectada por el equipo de Group-IB ha sido de $ 4 millones en BTC.

Durante los recientes compromisos de respuesta a incidentes, el equipo de Group-IB DFIR (Digital Forensics and Incident Response) notó un cambio significativo en las tácticas de los operadores de QakBot, la banda comenzó a implementar una nueva familia de ransomware Egregor.

Esta cepa de ransomware surgió en septiembre de 2020, pero los actores de amenazas detrás ya lograron bloquear empresas bastante grandes, como los desarrolladores de juegos Crytek, las librerías Barnes & Noble y, más recientemente, el gigante minorista Cencosud de Chile.

ProLock = Egregor

El análisis de los ataques en los que se ha implementado Egregor reveló que los TTP utilizados por los actores de amenazas son casi idénticos a los utilizados por los operadores de ProLock, cuyas campañas se han descrito en la publicación del blog de Group-IB en mayo. Primero, el acceso inicial siempre se obtiene a través de QakBot entregado a través de documentos maliciosos de Microsoft Excel que se hacen pasar por hojas de cálculo cifradas con DocuSign. Además, los operadores de Egregor han estado usando Rclone para la exfiltración de datos, al igual que con ProLock. También se han utilizado las mismas herramientas y convenciones de nomenclatura, por ejemplo, md.exe, rdp.bat, svchost.exe. Por lo tanto, considerando todo lo anterior, los expertos de Group-IB evalúan que es muy probable que los operadores de QakBot hayan cambiado de ProLock al ransomware Egregor.

Geografía y víctimas

La pandilla detrás de Egregor siguió los pasos de Maze, quien lo dejó no hace mucho. Los operadores de Egregor aprovechan las tácticas de intimidación, amenazan con publicar información confidencial en el sitio de filtración que operan en lugar de simplemente cifrar las redes comprometidas. La mayor demanda de rescate registrada por el equipo del Grupo IB hasta ahora fue de $ 4 millones en BTC.

En menos de 3 meses, los operadores de Egregor han logrado atacar con éxito a 69 empresas en todo el mundo con 32 objetivos en los EE. UU., 7 víctimas en Francia e Italia cada una, 6 en Alemania y 4 en el Reino Unido. Otras víctimas resultaron ser de APAC, Medio Oriente y América Latina. Los sectores favoritos de Egregor son la industria manufacturera (28,9% de las víctimas) y el comercio minorista (14,5%).

1500.png

Dentro de Egregor

Si bien los operadores de TTP de Egregor son casi idénticos a los de ProLock, el análisis de la muestra de ransomware Egregor obtenida durante una interacción reciente de respuesta a incidentes reveló que el código ejecutable de Egregor es muy similar a Sekhmet. Las dos cepas comparten algunas características principales, utilizan una técnica de ofuscación similar. El código fuente de Egregor también tiene similitudes con el ransomware Maze. El descifrado de la carga útil final se basa en la contraseña proporcionada en la línea de comandos, por lo que es imposible analizar Egregor si no tiene los argumentos de la línea de comandos proporcionados por el atacante. Los operadores de Egregor utilizan la combinación del cifrado de flujo ChaCha8 y RSA-2048 para el cifrado de archivos.

El uso de CobaltStike y QakBot es para observar cuando se busca Egregor. En el blog de Group-IB se encuentran disponibles más consejos de detección y búsqueda de amenazas del equipo de DFIR de Group-IB, así como un análisis técnico detallado de las operaciones de Egregor.

“Las tácticas, técnicas y procedimientos observados son muy similares a los observados en las operaciones de caza mayor de Qakbot en el pasado”, comenta Oleg Skulkin, analista senior de DFIR en Group-IB. Al mismo tiempo, vemos que estos métodos siguen siendo muy efectivos y permiten a los actores de amenazas comprometer empresas bastante grandes con una alta tasa de éxito.

Es importante tener en cuenta que el hecho de que muchos socios de Maze comenzaron a mudarse a Egregor probablemente resultará en un cambio en los TTP, por lo que los defensores deben centrarse en métodos conocidos asociados con los afiliados de Maze “.

Si desea obtener más información sobre las operaciones de ransomware y los TTP en 2020, regístrese ahora para la conferencia de inteligencia y caza de amenazas de Group-IB, CyberCrimeCon. La octava edición del evento icónico, que se llevará a cabo del 25 al 26 de noviembre, unirá tradicionalmente a profesionales de la ciberseguridad de los sectores financiero y tecnológico, gigantes minoristas e industriales, así como agencias de aplicación de la ley y, además de dos corrientes principales: analítica y tecnológico: contiene un juego de caza de amenazas. La lista de oradores de la conferencia incluye representantes de Europol EC3, bancos líderes, empresas de bienes de consumo e investigadores independientes.

Independientemente del rol de ciberseguridad en su organización, ya sea analista de SOC, cazador de amenazas o CISO, cuanto más sepa sobre el panorama de amenazas relevante para su negocio y región, mejor podrá proteger sus activos.

Pero cuando se trata de ransomware, cualquier gran organización puede ser un objetivo, y siempre debe estar en guardia.

Especialmente, dado que la principal tendencia del ciberdelito de 2020 es la caza mayor .

Cada vez más jugadores se unen al juego, interrumpiendo cada vez más negocios en todo el mundo.

El propio ransomware, así como los TTP de los atacantes, se vuelven cada vez más complejos, lo que dificulta la detección y el análisis.

Una de esas familias de ransomware, que entró en el juego recientemente, pero que ya logró “bloquear” víctimas bastante sobresalientes, como Crytek y Barnes & Noble, es Egregor .

Recientemente, el equipo de Group-IB DFIR observó a los operadores de ransomware de Egregor que usaban activamente Qakbot (también conocido como Qbot) para obtener acceso inicial, tal como sucedió con Prolock no hace mucho tiempo.

Las estrechas similitudes en los TTP con campañas anteriores de ProLock indican que los operadores de Qakbot probablemente hayan abandonado ProLock por Egregor.

Egregor se ha distribuido activamente desde septiembre de 2020.

En menos de 3 meses, los operadores de Egregor han logrado atacar con éxito a 69 empresas en todo el mundo con 32 objetivos en los EE. UU., 7 víctimas en Francia e Italia cada una, 6 en Alemania y 4 en el Reino Unido.

Otras víctimas resultaron ser de APAC, Medio Oriente y América Latina.

Los sectores favoritos de Egregor son Fabricación (28,9% de las víctimas) y Retail (14,5%).

Víctimas de Egregor
Dada la mayor actividad de los operadores de Egregor y el enfoque de la pandilla en las grandes empresas, decidimos publicar esta publicación de blog de “emergencia” para ayudar a los equipos de ciberseguridad a identificar y buscar a este actor de amenazas. 
Este blog lo sumergirá en las campañas recientes de Qakbot, los TTP empleados por los actores de amenazas durante sus operaciones de Big Game Hunting y un análisis en profundidad del ransomware Egregor.

Campañas recientes de Qakbot

En septiembre de 2020, Emotet volvió a distribuir Trickbot, por lo que los operadores de Qakbot tuvieron que distribuir su troyano sin su ayuda.
Para entregar el troyano, los operadores de Qakbot utilizaron documentos maliciosos de Microsoft Excel que se hicieron pasar por hojas de cálculo cifradas con DocuSign y aún prefieren utilizar la técnica de “secuestro de hilos de correo electrónico”.

Señuelo de DocuSign

Post-explotación

Durante nuestros compromisos de respuesta a incidentes, vimos técnicas casi idénticas a las que vimos en los ataques que involucraban el ransomware ProLock. Una vez que se obtiene el acceso inicial, los actores de amenazas utilizaron AdFind para recopilar información de Active Directory.
También hemos visto el mismo script para permitir un cómodo movimiento lateral: “rdp.bat”.
Fue utilizado por los actores de amenazas para modificar el registro y las reglas de firewall para permitir conexiones a través del Protocolo de escritorio remoto.
Para comprometer toda la infraestructura de la red, el actor de amenazas utilizó Cobalt Strike, una herramienta de post-explotación extremadamente popular que hemos visto en casi el 70% de los incidentes relacionados con operaciones de caza mayor este año.
En algunos casos, los actores de amenazas también distribuyeron Qakbot a través de la red a través de PsExec, al igual que en los casos con Prolock que observamos en el pasado, usan un archivo llamado “md.exe”, que es el binario de Qakbot.
Además, utilizaron Rclone para la exfiltración de datos; se utilizó la misma técnica de enmascaramiento, cambiaron el nombre de su binario a svchost.exe y lo colocaron en C: \ Windows.
Partes de los datos extraídos se publican en el sitio de fuga de datos (DLS) de Egregor para demostrar que no solo bloquearon la red de la víctima, sino que también robaron información confidencial:

“Salón de la vergüenza” de Egregor
Si la víctima se niega a pagar, los actores de la amenaza publican todo el conjunto de datos extraídos:

Todo el conjunto de datos extraídos de Crytek

Implementación de ransomware

Los actores de amenazas utilizaron múltiples técnicas para la implementación de ransomware, en algunos casos incluso en un solo ataque, incluido el abuso del Servicio de transferencia inteligente en segundo plano (BITS), la utilidad de línea de comandos WMI (WMIC) y las sesiones remotas de PowerShell.

Es interesante que el script de PowerShell contenga comentarios en ruso:

Una parte del script de PowerShell que se usa para implementar el ransomware Egregor

Análisis de ransomware

Analizamos una muestra de ransomware Egregor, que se obtuvo durante uno de nuestros compromisos de respuesta a incidentes.

Egregor se entrega como una DLL y debe iniciarse a través del ejecutable rundll32 con la línea de comando similar:

rundll32.exe C: \ Windows \ q.dll, DllRegisterServer -password –-mode

Después de llamar a la función DllRegisterServer, se decodificará la siguiente etapa , descifrado y ejecutado.

Esta etapa está protegida mediante el cifrado de flujo ChaCha8 (la clave y el nonce se almacenan dentro del archivo) y la codificación Base64:

Egregor

La siguiente etapa también se utiliza como una capa de cifrado para la carga útil final, que podría descifrarse solo si se proporciona la contraseña correcta como argumento.
Esta contraseña se usa como clave para HMAC-SHA256 y los datos de entrada para HMAC-SHA256 están codificados dentro del programa.
Después de eso, se usan 10000 iteraciones de HMAC-SHA256 junto con la operación XOR para crear una clave para el cifrado de flujo de Rabbit, que se usará para descifrar la carga útil final:
La carga útil final está altamente ofuscada con instrucciones basura y se usa mucho salto y ofuscación de llamadas (notamos que la ofuscación de Egregor es muy similar a la ofuscación usada en otro ransomware: Sekhmet).

Además, la ofuscación de cadenas es similar a Egregor (y lo que es más importante, incluso las claves para el descifrado de las mismas cadenas son las mismas).

El objetivo principal de Egregor (como era de esperar) es cifrar archivos.

Los archivos se cifran utilizando el cifrado de flujo ChaCha8 entre con el algoritmo asimétrico RSA-2048; se utilizó el mismo esquema en el ransomware Sekhmet y Maze (la clave y el nonce para ChaCha8 se generan aleatoriamente para cada archivo cifrado):
Notamos que la secuencia de comprobaciones de idioma es muy similar a la del ransomware Sekhmet y Maze.
El objetivo principal de Egregor (como era de esperar) es cifrar archivos.
Los archivos se cifran utilizando el cifrado de flujo ChaCha8 entre con el algoritmo asimétrico RSA-2048; se utilizó el mismo esquema en el ransomware Sekhmet y Maze (la clave y el nonce para ChaCha8 se generan aleatoriamente para cada archivo cifrado):

Clave ChaCha8 y generación nonce en Egregor y Sekhmet

Clave ChaCha8 y generación nonce en Maze
La clave ChaCha8 y el nonce se cifran y se agregan al principio del archivo cifrado.
Se genera un par de claves RSA-2048 local para cada computadora infectada; la clave privada local se cifra con la clave maestra pública y luego se agrega al “bloque técnico” al final de la nota de rescate (este bloque también contiene el número de archivos cifrados, información sobre la estación de trabajo y el dominio).
Para comprobar si es capaz de cifrar el archivo en un directorio específico, Egregor intentará crear un acceso directo en este directorio (el nombre del acceso directo es igual a la identificación de la víctima, que se genera en función de la configuración del hardware de la computadora).
El atajo se crea con la opción
FILE_FLAG_DELETE_ON_CLOSE,
que permite borrar automáticamente este atajo después de que se cierra el identificador.
Después de todo, la nota de rescate llamada RECOVER-FILES.txt se creará en cada directorio con archivos cifrados.

Aquí hay una plantilla extraída de una muestra de Egregor:

Plantilla de nota de rescate de Egregor
La mayor demanda de rescate que observamos fue de más de 4 000 000 $ en BTC.

Conclusión

Las tácticas, técnicas y procedimientos observados son muy similares a los observados en las operaciones de caza mayor de Qakbot en el pasado.
Al mismo tiempo, vemos que estos métodos siguen siendo muy efectivos y permiten a los actores de amenazas comprometer empresas bastante grandes con éxito.
Es importante tener en cuenta que el hecho de que muchos socios de Maze comenzaron a trasladarse a Egregor probablemente resultará en un cambio en los TTP, por lo que los defensores deben centrarse en métodos conocidos asociados con los afiliados de Maze.

Recomendaciones generales

  1. Si ha detectado una infección de Qakbot en su red, asegúrese de manejarla correctamente y no haya evidencia de movimiento lateral.
  2. Asegúrese de que sus controles de seguridad puedan detectar y bloquear el uso de Cobalt Strike.
  3. Concéntrese en las conexiones RDP sospechosas, así como en el abuso de BITS, wmic y PowerShell.
  4. Desarrolle la capacidad de búsqueda de amenazas para su equipo, de modo que pueda reducir el tiempo de permanencia del atacante y evitar la implementación exitosa de ransomware.
  5. Asegúrese de que su equipo haya actualizado la información de inteligencia  sobre amenazas  cibernéticas para detectar y prevenir ataques de ransomware operados por humanos.
  6. Aprenda qué técnicas y métodos utilizan los cazadores de amenazas en la actualidad.

Por Marcelo Lozano – General Publisher IT Connect Latam

90 / 100