Algunos afiliados a Egregor RaaS, han sido arrestados como resultado de una operación conjunta realizada por las fuerzas del orden en Ucrania y Francia.
Recordando que el pasado 27 de enero de 2021, dos operaciones lograron interrumpir las campañas de Emotet y Netwalker, en esta ocasión fue el turno de Ransomware Egregor.
Según las primeras informaciones entregadas por France Inter, la actual operación fue realizada en conjunto entre la policía francesa y ucraniana dando por resultado el arresto de varias personas que, hasta el momento, no se tiene información sobre sus nombres, pero si su relación estrecha con la banda de Ransomware entregando apoyo logístico, financiero y la distribución misma del ransomware.
Ransomware Egregor
La banda de ransomware Egregor ha estado activa desde septiembre de 2020, comenzó a operar poco después de que los operadores de ransomware Maze cerraran sus operaciones.
Al igual que otros operadores de ransomware, la pandilla implementa un modelo de doble extorsión, lo que significa que amenaza a las víctimas con liberar datos robados en su sitio de filtración si no pagan el rescate.
A principios de este año, el FBI emitió una Notificación de la industria privada (PIN) para advertir a las organizaciones privadas de los ataques de ransomware Egregor .
Operación Franco-Ucraniana
La gigantesca operación realizada por las policías franco-ucranianas que comenzó a mitad de año de 2020 tras una denuncia frente al Tribunal de grande instance en París permitió dar con la ubicación y el arresto, según se habla, de 10 a 12 miembros de un total de aproximadamente 25 personas.
Lo que habría permitido dar con la ubicación de los integrantes de la banda de ransomware, fue el seguimiento y rastreo de los pagos de rescate de las víctimas.
La infraestructura utilizada por la banda de ransomware Egregor, incluido el sitio ejecutado en la Dark Web, se cerró después de los arrestos. Si bien no se tiene la información oficial si los servidores fueron incautados por las autoridades o los operadores de ransomware los desconectaron para evadir la detección de las fuerzas del orden.
De hecho, el sitio que utiliza para publicar datos robados estuvo fuera de servicio durante quince días en enero y cuando volvió a estar en línea, hubo problemas con el sitio, lo que llevó a algunos a especular que los investigadores pudieron haber interrumpido la operación.
Panorama
Como lo hemos informado en anteriores boletines, Egregor se lanzó a mediados de septiembre, justo cuando uno de los grupos más grandes conocido como Maze comenzaba a cerrar sus operaciones, provocando que Egregor creciera rápidamente en un período relativamente corto de tiempo. Ya a principios de diciembre, Egregor comenzó a desacelerar sus campañas con muchos menos ataques realizados por la operación. Actualmente, no se sabe si la disminución de la actividad de Egregor está relacionada con la aplicación de la ley o simplemente parte de una estrategia por parte de los actores detrás de las operaciones de ransomware.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
hash | 830d274a1cbeebe34b0997d5c84... |
hash | 444a6897058fd4965770167b15a... |