La agencia de seguridad cibernética del país ha alertado a los usuarios sobre la propagación maliciosa del virus de rescate ‘Egregor’ que amenaza con liberar datos corporativos confidenciales de la organización víctima si no se paga.
El CERT-In o el Equipo de Respuesta a Emergencias Informáticas de la India dijo en un último aviso que si bien el “vector de infección inicial y el mecanismo de propagación aún se desconocen, se anticipa que el software de rescate Egregor puede infiltrarse a través de archivos adjuntos de correo electrónico no deseado o enlaces creados con fines maliciosos compartidos chats de correo electrónico / mensajería instantánea “.
“No se anima a las personas ni a las organizaciones a pagar el rescate, ya que esto no garantiza la liberación de los archivos”, dijo.
“Informe tales casos de fraude al CERT-In y las agencias de aplicación de la ley”, dijo el aviso del brazo de tecnología nacional para combatir los ataques cibernéticos y la protección del ciberespacio indio.
Dijo que este ransomware estaba afectando a organizaciones a nivel mundial.
“El modus operandi utilizado suele irrumpir en las organizaciones, robar datos confidenciales y ejecutar el malware para cifrar sus archivos y amenaza con la liberación de datos corporativos por parte de los medios masivos si el rescate no se paga a su debido tiempo”, indica el aviso.
“Utiliza tácticas de doble extorsión generalmente utilizadas por las familias de productos de rescate NetWalker”, dijo.
El virus “utiliza varios tipos de técnicas de análisis, incluida la ofuscación de código y las cargas útiles empaquetadas, lo que significa que el código malicioso se ‘descomprime’ en la memoria como una forma de evitar la detección por parte de las herramientas de seguridad”.
Dijo que el malware no “exhibe sus funcionalidades”, lo que dificulta que los analistas rompan su trampa.
“El virus agrega una cadena o caracteres aleatorios como la nueva extensión de cada archivo cifrado y crea el archivo de texto / nota de rescate“ RECOVER-FILES.Txt ”en todas las carpetas que contienen archivos cifrados”, dijo el CERT-In.
La agencia también sugirió algunas contramedidas para mantenerse a salvo de tales ataques de rescates.
“Realice copias de seguridad periódicas de toda la información crítica para limitar el impacto de la pérdida de datos o del sistema y para ayudar a acelerar el proceso de recuperación. Idealmente, estos datos deben guardarse en un dispositivo separado y las copias de seguridad deben almacenarse fuera de línea ”, dijo.
Además, dijo el aviso, verifique periódicamente la integridad de la información almacenada en las bases de datos.
Algunas otras medidas antivirus incluyen garantizar la integridad de los códigos o scripts que se utilizan en la base de datos y crear un sistema de validación de correo electrónico para evitar el spam detectando la suplantación de correo electrónico mediante la cual la mayoría de las muestras de ransomware llegan con éxito a las casillas de correo electrónico corporativas.
“Mantenga actualizado el software antivirus en todos los sistemas y no abra archivos adjuntos en correos electrónicos no solicitados, incluso si provienen de personas en su lista de contactos, y nunca haga clic en una URL contenida en un correo electrónico no solicitado, incluso si el el vínculo parece benigno ”, decía.
En los casos de URL genuinas, dijo, se debe cerrar el correo electrónico e ir al sitio web de la organización directamente a través del navegador.
También sugirió que los gerentes de seguridad deberían deshabilitar las conexiones de escritorio remoto y emplear cuentas con menos privilegios.
La limitación de los usuarios que pueden iniciar sesión mediante el escritorio remoto y la configuración de una política de bloqueo de cuenta se incluyen como algunas de las otras contramedidas sugeridas para verificar los ataques de ransomware en el aviso.