Ransomware Embargo

Publicado hace 1 semana 30-05-2025

En un mundo en que la tecnología está en constante crecimiento a cada minuto siempre se descubrieran nuevos actores de amenazas y recientemente se ha detectado un ransomware llamado Embargo, y aunque ha estado presente en el mundo cibernético desde el mes de mayo del 2024 su actividad ha sido cauteloso y poco a poco ha ido ganando notoriedad entre los ciberdelincuentes. Está amenaza principalmente se dirige a víctimas de sectores críticos como manufactura, transporte, salud, gobierno y seguridad pública. 

Hasta el día de hoy cuenta con 24 víctimas, pero debido a sus tácticas y técnicas utilizadas para comprometer información crítica de sus víctimas se pronostica que esta amenaza siga ganando notoriedad. El ransomware utiliza como vector de ataque inicial correos electrónicos con phishing para engañar a las víctimas y desplegar el ransomware en infraestructuras de red críticas, después de obtener el acceso utiliza la técnica de doble extorción, en la cual cifra, encripta y exfiltra datos críticos de las víctimas y después pide un pago de rescate para evitar que los datos comprometidos sean publicados en su página de filtración, también el rescate incluye una herramienta para desencriptar la información.

Sitio de filtraciones del ransomware Embargo [1] 

Al igual que la mayoría de las ransomware esta amenaza deja una nota de rescate en donde menciona que pudo infiltrarse con éxito en la red de la víctima y obtuvo documentos, archivos y bases de datos confidenciales, además da las instrucciones a seguir realizar el pago de rescate y para evitar que la información sea publicada.


Nota de rescate [2] 
También se ha detectado que el ransomware embargo utiliza como vector de ataque la explotación de vulnerabilidades en entornos en la nube como CVE-2022-47966, CVE-2023-4966 y CVE-2023-38203; los atacantes casi siempre obtienen acceso a entornos en la nube mediante la explotación de las vulnerabilidades antes mencionadas y con credenciales débiles o filtradas. 

Taxonomia MITRE ATT&CK
 

Táctica 

ID de la técnica 

Nombre 

 

 

Initial Access 

T1078 

Valid Accounts 

 

T1091 

Replication Through Removable Media  

T1190 

Exploit Public-Facing Application 

 

Execution 

T1059 

Command and Scripting Interpreter 

T1059.003 

Windows Command Shell 

 

Persistence 

T1078 

Valid Accounts 

T1098 

Account Manipulation 

T1134 

Access Token Manipulation 

 

 

Defense Evasion  

T1070 

Indicator Removal 

T1070.004 

File Detection 

T1078 

Valid Accounts 

T1134 

Access Token Manipulation 

T1622 

Debugger Evasion 

 

 

 

 

 

Discovery  

T1012 

Query Registry 

T1057  

Process Discovery  

T1082 

System Information Discovery 

T1083 

File and Directory Discovery 

T1120 

Peripheral Device Discovery 

T1124 

System Time Discovery 

T1614 

System Location Discovery  

T1622 

Debugger Evasion 

Lateral Movement  

 

T1091 

Replication Through Removable Media 

 

Command and Control 

T1071 

Application Layer Protocol 

T1071.001 

Web Protocols 

 

Exfiltration  

 

T1567 

Exfiltration Over Web Service  

 

Impact 

T1486 

Data Encrypted for Impact 

T1489 

Service Stop 

T1490 

Inhibit System Recovery 


Indicadores de Compromiso:
 

IOC 

Tipo  

ca601708a3822d4f1fbea39171c8d5e94c0b8741f35a5a2fb63cd6d71da29b1a 

SHA-256 

caa21a8f13a0b77ff5808ad7725ff3af9b74ce5b67426c84538b8fa43820a031 

SHA-256 

d065623a7d943c6e5a20ca9667aa3c41e639e153600e26ca0af5d7c643384670 

SHA-256 

53e2dec3e16a0ff000a8c8c279eeeca8b4437edb8ec8462bfbd9f64ded8072d9 

SHA-256 

de09ec092b11a1396613846f6b082e1e1ee16ea270c895ec6e4f553a13716304 

SHA-256 

d37dc37fdcebbe0d265b8afad24198998ae8c3b2c6603a9258200ea8a1bd7b4a 

SHA-256 

c08dd490860b54ae20fa9090274da9ffa1ba163f00d1e462e913cf8c68c11ac1 

SHA-256 

efb2f6452d7b0a63f6f2f4d8db49433259249df598391dd79f64df1ee3880a8d 

SHA-256 

ee80f3e3ad43a283cbc83992e235e4c1b03ff3437c880be02ab1d15d92a8348a 

SHA-256 

827f7178802b2e92988d7cff349648f334bc86317b0b628f4bb9264285fccf5f 

SHA-256 

ebffc9ced2dba66db9aae02c7ccd2759a36c5167df5cd4adb151b20e7eab173c 

SHA-256 

a9aeb861817f3e4e74134622cbe298909e28d0fcc1e72f179a32adc637293a40 

SHA-256 

6e349195bdc65a1964367317ba14b905440d75398c3fbb1911c3400082d7f149 

SHA-256 

0d2619844a3ab68ee18c3a4768b10e6b8aea31143023277883b7ff9f7a9e55ca 

SHA-256 

023d722cbbdd04e3db77de7e6e3cfeabcef21ba5b2f04c3f3a33691801dd45eb 

SHA-256 

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Embargo: un nuevo ransomware que despliega herramientas para desactivar soluciones de seguridad. (2024, Octubre 23). Recuperado el 27 de mayo de 2025 en:  https://www.welivesecurity.com/es/investigaciones/embargo-ransomware-utiliza-herramientas-desactivar-soluciones-seguridad/ 
  2. Meskauskas, T. (2024, Octubre 25). EMBARGO ransomware. Decryption, Removal, And Lost Files Recovery (Updated). Recuperado el 27 de mayo de 2025 en: https://www.pcrisk.com/removal-guides/30033-embargo-ransomware 
  3. French, L. (2024, Octubre 24). Embargo ransomware analysis exposes developing toolkit of new group. SC Media. Recuperado el 27 de mayo de 2025 en: https://www.scworld.com/news/embargo-ransomware-analysis-exposes-developing-toolkit-of-new-group 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

IA utilizada para desplegar Ransomware
Publicado hace 11 horas 06-06-2025

La adopción de la inteligencia artificial en entornos de trabajo, vida diaria y otros ámbitos está siendo cada vez más común con el paso del tiempo. Sin embargo, así como sirve para mejorar la vida cotidiana, los ciberdelincuentes tambi&e......

Ransomware DragonForce (Actualización)
Publicado hace 3 días 03-06-2025

El grupo de ransomware DragonForce, conocido desde noviembre de año 2023, recientemente se ha estado volviendo relevante debido a la constante actualización y sofisticación de sus vectores de ataque. Esta amenaza originalmente era conocido por ser una campa&n......

Ransomware Embargo
Publicado hace 1 semana 30-05-2025

En un mundo en que la tecnología está en constante crecimiento a cada minuto siempre se descubrieran nuevos actores de amenazas y recientemente se ha detectado un ransomware llamado Embargo, y aunque ha estado presente en el mundo cibernético desde el mes de......

BOLETINES RECIENTES

...
IA utilizada para desplegar Ransomware
Publicado hace 11 horas 06-06-2025
Leer más
...
Ransomware DragonForce (Actualización)
Publicado hace 3 días 03-06-2025
Leer más
...
Ransomware Embargo
Publicado hace 1 semana 30-05-2025
Leer más