16 feb. 2021

Miembros del ransomware Egregor arrestados en Ucrania

Según los informes, una operación conjunta entre las fuerzas de seguridad francesas y ucranianas llevó el arresto de varios miembros de la operación de ransomware Egregor en Ucrania. Como informó France Inter, el martes, las fuerzas del orden realizaron los arrestos después de que las autoridades francesas pudieran rastrear los pagos de rescate a personas ubicadas en Ucrania.

Durante el año pasado, Egregor ha atacado a numerosas organizaciones francesas, incluidas UbisoftOuest France, y recientemente Gefko. Algunas otras empresas conocidas que han sido atacadas por Egregor incluyen Barnes and Noble, Kmart, Cencosud, Randstad, Vancouver's TransLink metro system, y Crytek.

Se cree que las personas arrestadas son afiliados de Egregor cuyo trabajo era hackear redes corporativas e instalar el ransomware. France Inter también informa que algunas personas proporcionaron apoyo logístico y financiero.

Se informó que la operación se inició a través de una investigación abierta el otoño pasado en París, después de recibir denuncias sobre la banda de ransomware. No se sabe en este momento cuántas personas fueron arrestadas. La fiscalía J3 Cyber del Tribunal de Grande Instance de París abrió una investigación el otoño pasado después de presentar varias quejas e informes en Europol en los Países Bajos. Según la información, los investigadores franceses y sus homólogos europeos pudieron rastrear los rescates, pagados en bitcoin a través de la cadena de bloques, antes de localizar a varios sospechosos en Ucrania.

Ascenso y caída de Egregor

Egregor opera como un Ransomware-as-a-Service (RaaS) donde los afiliados se asocian con los desarrolladores de ransomware para realizar ataques y dividir los pagos del rescate. En asociaciones como esta, los desarrolladores de ransomware son responsables de desarrollar el malware y ejecutar el sitio de pago.

Al mismo tiempo, los afiliados son responsables de hackear las redes de las víctimas y desplegar el ransomware. Como parte de este acuerdo, los desarrolladores ganan entre el 20 y el 30% del pago de un rescate, mientras que los afiliados obtienen el otro 70-80%.

Egregor se lanzó a mediados de septiembre de 2020, justo cuando uno de los grupos más grandes conocido como Maze comenzaba a cerrar sus operaciones. En ese momento, los actores de amenazas le dijeron a BleepingComputer que los afiliados de Maze se mudaron a Egregor RaaS, lo que permitió que la nueva operación de ransomware se lance con delincuentes informáticos experimentados y capacitados.

En noviembre, la banda de ransomware se asoció con el malware Qbot para obtener acceso a las redes de las víctimas, lo que aumentó aún más el volumen de ataques. Debido a que Egregor creció tan rápidamente en un período relativamente corto, las víctimas tuvieron que esperar para negociar un pago de ransomware.

A principios de diciembre, Egregor repentinamente comenzó a desacelerarse con muchos menos ataques realizados. Puede ver esta dramática disminución a partir del 9 de diciembre de 2020, en el siguiente gráfico de los envíos de Egregor a ID Ransomware.

El mes pasado, Bill Siegel, director ejecutivo de la firma de negociación de rescates Coveware, le dijo a BleepingComputer que ellos también habían visto una disminución en los ataques de Egregor y era posible que los afiliados podrían haberse mudado a otro RaaS. En enero, el sitio de filtración de datos de Egregor estuvo fuera de línea durante aproximadamente dos semanas, y cuando volvió a estar en línea, hubo problemas con el sitio. Esta actividad inusual llevó a otros actores de amenazas a sospechar que Egregor fue hackeado que su operación se había visto interrumpida por fuerzas del orden.

Actualmente, no se sabe si la disminución de la actividad de Egregor está relacionada con la aplicación de la ley o simplemente por el cambio de operaciones del ransomware.

En un nuevo informe publicado la semana pasada por la firma de ciberseguridad Kivu, los investigadores afirman que Egregor ha acumulado más de 200 víctimas desde su lanzamiento, y está compuesto por 10-12 miembros principales y 20-25 miembros dedicados de forma semi-exclusiva. 

Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!