Informes

Egregor utiliza una variedad de técnicas anti-ofuscación y empaquetamiento del payload para evitar su análisis. Se considera que la funcionalidad del ransomware es similar a la de Sekhmet. Conoce esta amenaza y cómo protegerte.

A mediados de noviembre de 2020, se confirmó que las empresas Cencosud (Jumbo, Easy, Paris y Santa Isabel) habrían sido afectados por Egregor. Los sistemas de algunas tiendas del conglomerado del retail en la región de Valparaíso (Chile) y según se indica en redes sociales, también en el resto del país e incluso en Argentina.

A continuación, presentamos el informe de SOC RAN sobre esta amenaza, los IOCs SHA-, los dominios utilizados y nuestras recomendaciones:

Análisis Ransomware Egregor - SOC

Egregor utiliza una variedad de técnicas anti-ofuscación y empaquetamiento del payload para evitar su análisis. Se considera que la funcionalidad del ransomware es similar a la de Sekhmet. "En una  de las etapas de ejecución, la carga útil de Egregor solo se puede descifrar si se proporciona la clave  correcta a través de la línea de comando, lo que significa que el archivo no se puede analizar, ya sea manualmente o mediante la utilización técnicas de sandbox". 

El ransomware Egregor suele ser distribuido por los delincuentes después de una violación de la red corporativa. La muestra de malware es un archivo DLL que debe iniciarse con la contraseña correcta proporcionada como argumento de línea de comando. La DLL generalmente se descarga de  Internet. 

En ocasiones, los dominios utilizados para difundirlo explotan nombres o palabras utilizadas en la industria de la víctima.

Egregor es probablemente la familia de ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 horas para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación. El pago del ransomware se negocia y acuerda a través de  un chat especial asignado a cada víctima y el pago se recibe en BTC.  Egregor utiliza un esquema de cifrado de archivos híbrido basado en el cifrado de flujo ChaCha y el  cifrado asimétrico RSA. La clave pública maestra RSA-2048 de los delincuentes está incrustada en el cuerpo del troyano.

Cuando se ejecuta en la máquina de una víctima, Egregor genera un nuevo par único de claves RSA de sesión. La clave RSA privada de la sesión es exportada y cifrada por ChaCha con una clave  generada de forma única más un nonce, luego la clave y el nonce son cifrados por la clave RSA pública maestra. 

Los resultados se guardan en un archivo binario, así como una cadena codificada en Base64 en las notas de rescate. Para cada archivo de datos que procesa Egregor, genera una nueva clave ChaCha de 256 bits y un nonce de 64 bits, cifra el contenido del archivo por ChaCha, luego los cifra usando la clave pública RSA de la sesión y los guarda junto con alguna información auxiliar al final del archivo cifrado. Los últimos 16 bytes de cada archivo cifrado se componen de un marcador dinámico: un DWORD aleatorio y este mismo DWORD xor'ed con el valor 0xB16B00B5 que equivale a 'BIGBOOBS' en el llamado lenguaje leet.

IOCs SHA-1:

• 013f1f3f2a306f3f0f94b48f949325a70a997746
• 03cdec4a0a63a016d0767650cdaf1d4d24669795
• 0579da0b8bfdfce7ca4a45baf9df7ec23989e28b
• 069ef8443df750e9f72ebe4ed93c3e472a2396e2
• 07d4bcb5b969a01fb21dc28e5cb1b7ceb05f2912
• 1be22505a25f14fff1e116fafcaae9452be325b1
• 21e64bfccb226adcef4754213e29b0c09551f470
• 38d3658ec45e949623278a8174981d18174ea91a
• 3a33de9a84bbc76161895178e3d13bcd28f7d8fe
• 3cc616d959eb2fe59642102f0565c0e55ee67dbc
• 3fd4783920dac610052c9e135cd52b81d3876c6b
• 4ea064f715c2a5f4ed68f57029befd8f406671dd
• 544388a33a956635f062945ae476920ab3fadb3d
• 54efafa085ecbe46b09527664944536b99c7c599
• 56eed20ea731d28d621723130518ac00bf50170d
• 5a346fb957abeba389424dc57636edcacc58b5ba
• 5c99dc80ca69ce0f2d9b4f790ec1b57dba7153c9
• 5da8a11917e18dbf81033f973c0a2f0d8854e43b
• 6412cbf10ac523452e051267afce4095d7f3d5ac
• 6b32973458045540fd6482bcb2e16dcd718485c9
• 7bc6c2d714e88659b26b6b8ed6681b1f91eef6af
• 8768cf56e12a81d838e270dca9b82d30c35d026e
• 901cee60fba225baf80c976b10dfa1684a73f5ee
• 948ef8caef5c1254be551cab8a64c687ea0faf84
• 986f69a43e0bf174f73139785ec8f969acf5aa55
• a29fc0eb58ad97e29171a2a5c5011a1bf4f16304
• a2d5700def24c3ae4d41c679e83d93513259ae4a
• a6259615ea10c30421e83d20f4a4b5f2c41b45b8
• aa2745c2d5ef7dbc239544c69b3e27193fa6049c
• ac634854448eb8fcd3abf49c8f37cd21f4282dde
• ac6d919b313bbb18624d26745121fca3e4ae0fd3
• b7170443ea2b73bca3d16958712ee57cb4869d5b
• bd8c52bb1f5c034f11f3048e2ed89b7b8ff39261
• beb48c2a7ff957d467d9199c954b89f8411d3ca8
• ceca1a691c736632b3e98f2ed5b028d33c0f3c64
• cf02d630465eaf009db8bcc8a0dd4242a1d2dd82
• d2d9484276a208641517a2273d96f34de1394b8e
• e27725074f7bc55014885921b7ec8b5319b1ef8f
• e393e791368c34cf4aecc87760f3eee90d946946
• ed5b60a640a19afe8d1281bf691f40bac34eba8a
• edf4e9b226c9e8935fb38e7c3b864cf93e6d119c
• ef80dafba68b7a82c99847bd650272e418b437e4
• f0215aac7be36a5fedeea51d34d8f8da2e98bf1b
• f1603f1ddf52391b16ee9e73e68f5dd405ab06b0
• f73e31d11f462f522a883c8f8f06d44f8d3e2f01
• f7bf7cea89c6205d78fa42d735d81c1e5c183041

Dominios utilizados:

Tor Onion URLs:

• egregor.top
• egregorwiki.top
• wikiegregor.top
• egregoranrmzapcv.onion
• sekhmet.top
• sekhmetleaks.top

C&C servers:

• 185.82.126.8

RECOMENDACIONES

• Bloquear los indicadores de compromisos (IOC) indicados en el punto 4 y 5 del presente documento en los dispositivos de seguridad de su infraestructura. 
• Considerar deshabilitar PowerShell, evitando que pueda ser aprovechado por softwares maliciosos. 
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad. 
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. 
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática. 
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

INFORME: S.O.C. RAN Security

+ Info: expertos@ransecurity.com

www.ransecurity.com