# Egregor Ransomware > [!medium] Sucessor do Maze - RaaS com dupla extorsão > O Egregor é um ransomware do tipo **Ransomware-as-a-Service (RaaS)** que emergiu em setembro de 2020 como sucessor direto do **Maze** e descendente da família **Sekhmet**. Responsável por dezenas de ataques de alto perfil em seu curto ciclo de vida, incluindo alvos no Brasil e LATAM, foi desmantelado em fevereiro de 2021 após prisões na Ucrânia. ## Visão Geral O Egregor surgiu em setembro de 2020 coincidindo com o encerramento das operações do [[maze-ransomware-gang]], herdando tanto a base de código quanto os operadores afiliados da operação anterior. O nome "Egregor" tem origem na demonologia ocultista - referindo-se a uma entidade formada pela energia coletiva de um grupo, uma escolha intencional dos autores para transmitir a ideia de uma organização descentralizada e resiliente. O Egregor operou como RaaS sofisticado com modelo de afiliados, onde desenvolvedores forneciam o ransomware e infraestrutura em troca de 20-30% dos pagamentos de resgate. Os afiliados eram responsáveis pelos compromissos iniciais, enquanto o grupo central gerenciava negociações e o site de vazamentos chamado "Egregor News". Em apenas 5 meses de operação (setembro 2020 a fevereiro 2021), o grupo vitimou mais de 200 organizações em múltiplos países. A herança técnica do Sekhmet é evidente no código do Egregor, que compartilha rotinas de criptografia e estruturas de configuração com sua família predecessora. O algoritmo de criptografia utiliza uma combinação de RSA-2048 e ChaCha20, com a chave de sessão criptografada pela chave pública RSA dos operadores - tornando a descriptografia sem pagamento práticamente impossível na ausência de erros de implementação. Para o contexto LATAM e Brasil, o Egregor vitimou empresas varejistas, indústrias e escritórios de advocacia na região. O setor de [[retail]] e [[manufacturing]] foram os mais afetados no Brasil, com grupos de mídia e logística também entre as vítimas documentadas. O ataque à Cencosud no Chile em novembro de 2020 foi um dos casos mais notórios na América Latina. > [!latam] Relevância para o Brasil > O **Egregor** comprometeu empresas no Brasil e LATAM, com ataques confirmados a varejistas, escritórios de advocacia e grupos de mídia na região. O ataque à **Cencosud** (Chile, novembro 2020) foi o caso mais emblemático da América Latina. Embora o grupo tenha sido desmantelado em 2021, seus TTPs — especialmente a **impressão automática de notas de resgate** e uso de **Rclone para exfiltração** — são amplamente replicados por grupos ativos. A linhagem **JSWorm→Sekhmet→Egregor** demonstra como grupos se rebrandiam mantendo ferramentas e afiliados. ## Análise Técnica ### Attack Flow ```mermaid graph TB A["📧 Acesso Inicial<br/>Phishing / RDP / Cobalt Strike"] --> B["🔍 Reconhecimento Interno<br/>BloodHound / ADRecon"] B --> C["🔑 Dumping de Credenciais<br/>Mimikatz / LSASS dump"] C --> D["🌐 Movimento Lateral<br/>PSExec / WMI / RDP"] D --> E["📤 Exfiltração de Dados<br/>Rclone para cloud"] E --> F["🔒 Criptografia com Egregor<br/>RSA-2048 + ChaCha20"] F --> G["🖨️ Nota de Resgate Impressa<br/>Impressoras de rede ativadas"] ``` ### Características Técnicas Distintas Uma das características mais incomuns do Egregor era a **impressão automática da nota de resgate** em todas as impressoras conectadas à rede comprometida no momento do deploy - uma tática teatral para maximizar o impacto psicológico e visibilidade do ataque. ```mermaid graph TB subgraph "Mecanismo de Extorsão Dupla" A["🔐 Criptografia de Arquivos<br/>Extensão única por vítima"] --> C["💰 Demanda de Resgate<br/>Site TOR da vítima"] B["📤 Exfiltração Prévia<br/>Dados sensíveis coletados"] --> C C --> D{"Pagou em 72h?"} D -->|Não| E["📰 Publicação no Egregor News<br/>Vazamento parcial de dados"] D -->|Sim| F["🔓 Decryptor fornecido<br/>Dados não publicados"] E --> G["💀 Vazamento Total<br/>Represália máxima"] end ``` ### Relação com Maze e Sekhmet | Família | Período | Status | Relação | |---------|---------|--------|---------| | [[sekhmet-ransomware]] | Mar-Set 2020 | Inativo | Predecessor direto do Egregor | | [[maze-ransomware-gang]] | Mai 2019-Nov 2020 | Inativo | Modelo RaaS herdado | | Egregor | Set 2020-Fev 2021 | Inativo | Combinou heranças de ambos | ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia RSA-2048 + ChaCha20 | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais via Mimikatz | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de scripts de preparação | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de dados para exfiltração | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Roubo de dados via Rclone antes da criptografia | ## Desmantelamento Em fevereiro de 2021, autoridades ucranianas (SSU) prenderam membros do grupo Egregor em uma operação conjunta com a França. As prisões incluíram desenvolvedores e afiliados do ransomware. O site de vazamentos Egregor News foi retirado do ar e as operações cessaram abruptamente, representando um dos primeiros casos bem-sucedidos de takedown de um grupo RaaS ativo. ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - Egregor Ransomware (TLP:GREEN) > **Extensão de arquivos:** Extensão aleatória única por vítima (não .egregor) > > **Nota de resgate:** > `RECOVER-FILES.txt` (também impressa automaticamente) > > **Ferramentas associadas:** > - Cobalt Strike (acesso inicial e movimento lateral) > - BloodHound (reconhecimento AD) > - Mimikatz (dumping de credenciais) > - Rclone (exfiltração para cloud storage) > > **Comportamento de rede:** > - Conexões de saída para serviços cloud legítimos (para exfiltração com Rclone) > - Comandos de impressão em massa em toda a rede > > **Fontes:** [Mandiant UNC2190](https://www.mandiant.com) · [ANSSI - Egregor Analysis](https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-002.pdf) ### Mitigações 1. **Monitoramento de impressoras**: Alertas para impressão em massa anômala em múltiplas impressoras simultaneamente 2. **Proteção de credenciais**: LSA Protection habilitado, monitoramento de acesso ao LSASS 3. **Controle de ferramentas de backup/sync**: Bloquear ou monitorar uso de Rclone por processos não autorizados 4. **Segmentação de rede**: Limitar movimento lateral via SMB e WMI ## Referências - [ANSSI - Egregor Ransomware Analysis](https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-002.pdf) - [Mandiant - UNC2190 Profile](https://www.mandiant.com/resources) - [Ukraine SSU Press Release - Egregor Arrests](https://ssu.gov.ua) - [Cencosud Attack Analysis](https://www.bleepingcomputer.com/news/security/)