Membros do cartel de ransomware Egregor foram presos esta semana na Ucrânia, informou a estação de rádio francesa France Inter. As detenções, que não foram oficialmente anunciadas, são o resultado de uma investigação conjunta entre as polícias francesa e ucraniana. Fontes da comunidade de inteligência de ameaças confirmaram a existência de uma ação policial, mas se recusaram a comentar por enquanto. No entanto, acredita-se que os operadores de ransomware Egregor estejam mesmo presos na Ucrânia.
Os nomes dos suspeitos não foram divulgados. A France Inter disse que os suspeitos presos forneceram apoio de hackers, logístico e financeiro para a gangue Egregor.
A gangue Egregor, que começou a operar em setembro de 2020, opera com base em um modelo Ransomware-as-a-Service (RaaS). Eles alugam o acesso ao tipo real de ransomware. Entretanto, contam com outras gangues do crime cibernético para orquestrar invasões em redes corporativas e implantar o ransomware de criptografia de arquivos.
Quem não paga, recebe punição
As vítimas que resistem a pagar a taxa de extorsão são frequentemente listadas em um chamado “site de vazamento”, na esperança de obrigá-las a pagar o pedido de resgate. As vítimas que não pagam geralmente têm documentos internos e arquivos compartilhados no site do vazamento Egregor como punição.
Se as vítimas pagarem o resgate, a gangue que orquestrou a intrusão fica com a maior parte dos fundos, enquanto a gangue Egregor fica com uma pequena parte. A gangue então lava esses lucros através do ecossistema Bitcoin por meio de serviços de mistura de Bitcoin.
De acordo com o relatório do France Inter, os suspeitos presos são considerados alguns desses “afiliados” (ou parceiros) da gangue Egregor, que ajudam a sustentar suas operações.
A France Inter disse que as autoridades francesas se envolveram na investigação depois que várias grandes empresas francesas foram atingidas pela Egregor no ano passado, como o estúdio de jogos Ubisoft e a empresa de logística Gefco.
Uma investigação foi iniciada no ano passado. Assim, a polícia francesa, junto com “contrapartes europeias”, foram capazes de rastrear membros da Egregor e a infraestrutura para a Ucrânia.
Operadores de ransomware Egregor presos na Ucrânia. Site de vazamentos está fora do ar desde a semana passada
Embora os detalhes sobre a ação policial sejam obscuros, as prisões parecem ter tido um impacto muito grande nas operações da Egregor.
“A Recorded Future observou que a infraestrutura da Egregor, incluindo o local de extorsão e a infraestrutura de comando e controle (C2), está offline pelo menos na sexta-feira”, disse Allan Liska, pesquisador de segurança da empresa de inteligência de ameaças Recorded Future.
Embora não tenha havido bandeira da polícia, como muitas vezes haveria neste caso, é incomum para atores de ransomware com recursos tão bons quanto Egregor ter toda a sua infraestrutura offline ao mesmo tempo, acrescentou.
Egregor fez mais de 200 vítimas
Embora o Egregor RaaS tenha sido lançado formalmente em setembro de 2020, muitos especialistas em segurança acreditam que a gangue Egregor é, na verdade, o antigo grupo de ransomware Maze, que começou a operar no final de 2019.
A gangue Maze fechou abruptamente em setembro de 2020, algumas semanas depois que Egregor começou a operar. Relatórios de firmas de inteligência de ameaças na época diziam que a gangue Maze notificou privadamente muitos de seus principais “afiliados” para se mudarem para o Egregor RaaS.
Atualmente, muitos pesquisadores de segurança acreditam que o Egregor RaaS é uma versão atualizada e reformulada da operação Maze mais antiga.
O Recorded Future rastreou 206 vítimas publicadas no site de extorsão Egregor e, antes da mudança, 263 vítimas publicadas no site Maze. As duas variantes combinadas foram responsáveis ??por 34,3% das vítimas publicadas em todos os sites de extorsão de ransomware (14,9% Egregor), disse Liska.
Lucro certo
Um relatório da Coveware publicado no mês passado confirmou a avaliação da Recorded Future, listando a Egregor como a segunda gangue de ransomware mais ativa no quarto trimestre de 2020.
No entanto, não está claro quais serão os danos da ação policial desta semana no futuro de Egregor. No mês passado, as autoridades dos Estados Unidos e da Bulgária interromperam a gangue de ransomware Netwalker , apreendendo servidores e prendendo uma de suas afiliadas, e o serviço RaaS está inativo desde então.
Um relatório da Chainalysis publicado no início do mês listou a gangue Egregor/Maze como uma das 5 maiores ganhadoras no cenário do ransomware. Os ganhos ficam entre $40 milhões e $50 milhões.
Isso foi confirmado por Liska. A demanda média de resgate da Egregor era de cerca de US$ 700.000.
Mas um evento bastante significativo ocorreu no ano passado, em novembro, quando os operadores da gangue de ransomware REvil (Sodinokibi) (nº 1 naquele relatório de ransomware Coverware 2020 Q4) alegaram ter identificado as identidades reais das pessoas por trás do serviço Maze, seu rival.