Affiliati del ransomware Egregor arrestati in Ucraina

Un numero non precisato di operatori del ransomware Egregor è stato arrestato in Ucraina a seguito di una indagine condotta dalle autorità francesi e ucraine. A tradire i cyber criminali è stato il pagamento dei riscatti.

Business Tecnologie/Scenari
Un'operazione congiunta tra le forze dell'ordine francesi e ucraine ha portato all'arresto di affiliati del ransomware Egregor. Stando a quanto riferito dall'emittente francese France Inter, gli arresti sono frutto dell'attività di indagine delle autorità francesi, che hanno portato a rintracciare i pagamenti di un riscatto a persone situate in Ucraina.

Non è dato sapere quante persone siano state assicurate alla giustizia, anche perché non è noto il numero esatto degli esponenti del gruppo criminale. Secondo l'azienda di cyber security Kivu, potrebbe contare 10-12 membri principali e 20-25 persone che vi lavorano quasi permanentemente.

A quanto si apprende dalle fonti, i cyber criminali avevano il compito di infiltrarsi nelle reti aziendali e distribuire il ransomware. Alcune persone hanno inoltre fornito supporto logistico e finanziario ai cyber attacchi.

Le indagini hanno preso il via lo scorso autunno a seguito di una denuncia presso il Tribunal de grande instance de Paris. Nell'ultimo semestre gli affiliati di Egregor hanno attaccato numerose organizzazioni francesi, tra cui Ubisoft, Ouest France e, più recentemente, Gefko.
egregor

Egregor

Egregor opera come Ransomware-as-a-Service (RaaS). Gli affiliati sono responsabili dell'hacking nelle reti delle vittime e della distribuzione del ransomware. Collaborano con gli sviluppatori software, che sono responsabili dello sviluppo del malware e dei siti deputati ai pagamenti. I proventi delle azioni criminali vengono poi ripartiti fra le parti: gli sviluppatori incassano tra il 20-30% del pagamento del riscatto, mentre agli affiliati spetta il rimanente 70-80%.

Questa impostazione è ormai diffusa nell'ambito del cyber crime. Europol, il World Economic Forum e altri enti hanno allertato da tempo sul modello di business organizzato del cyber crime, in cui i cyber criminali non sono lupi solitari, ma componenti di organizzazioni strutturate e ben organizzate in cui ciascuno ha un ruolo definito.

L'attività di Egregor è iniziata a metà settembre 2020, in concomitanza con lo smantellamento delle attività di Maze. Stando alle fonti qualificate, questa organizzazione criminale avrebbe ereditato gran parte del codice di Maze, qualificandosi a tutti gli effetti come suo successore. Sfrutta anche le stesse note di riscatto e la stessa denominazione del sito di pagamento.

Da allora Egregor è diventato rapidamente attivo, grazie alla presenza fra le sue fila di esponenti esperti e qualificati. Seguendo un copione ormai diffuso nel cyber crime, gli affiliati sono anche usi a collaborare con altri gruppi criminali quando si presenta l'opportunità di unire le forze per centrare gli obiettivi. Nello specifico, a novembre, il gruppo Egregor ha collaborato con gli esponenti del malware Qbot per ottenere l'accesso alle reti delle vittime, aumentando il volume degli attacchi.
id ransomwareAndamento degli attacchi di Egregor

Gli esperti di Coveware (esperti nella remediation di attacchi ransomware) hanno annotato che a un certo punto l'attività di Egregor è stata così intensa da mettere in lista d'attesa le vittime per negoziare il pagamento dei riscatti. Forse per questo motivo, da dicembre 2020 gli attacchi hanno rallentato. In tutto, comunque, dall'inizio dell'attività si contano all'incirca 200 vittime.

Fra le ipotesi, potrebbe esserci lo spostamento degli affiliati verso un altro RaaS. Ma potrebbe anche essersi verificato un problema tecnico o un cyber attacco. A gennaio 2021, infatti, il sito di Egregor è andato offline per circa due settimane, e quando è tornato aveva evidenti problemi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori