Un'operazione congiunta tra le forze dell'ordine francesi e ucraine ha portato all'
arresto di affiliati del ransomware Egregor. Stando a quanto riferito dall'emittente francese
France Inter, gli arresti sono frutto dell'attività di indagine delle autorità francesi, che hanno portato a
rintracciare i pagamenti di un riscatto a persone situate in Ucraina.
Non è dato sapere quante persone siano state assicurate alla giustizia, anche perché non è noto il numero esatto degli esponenti del gruppo criminale. Secondo l'azienda di cyber security Kivu, potrebbe contare 10-12 membri principali e 20-25 persone che vi lavorano quasi permanentemente.
A quanto si apprende dalle fonti, i cyber criminali avevano il compito di infiltrarsi nelle reti aziendali e distribuire il ransomware. Alcune persone hanno inoltre fornito supporto logistico e finanziario ai cyber attacchi.
Le indagini hanno preso il via lo scorso autunno a seguito di una denuncia presso il Tribunal de grande instance de Paris. Nell'ultimo semestre gli affiliati di Egregor hanno attaccato numerose organizzazioni francesi, tra cui Ubisoft, Ouest France e, più recentemente, Gefko.
Egregor
Egregor opera come
Ransomware-as-a-Service (RaaS). Gli affiliati sono responsabili dell'hacking nelle reti delle vittime e della distribuzione del ransomware. Collaborano con gli sviluppatori software, che sono responsabili dello sviluppo del malware e dei siti deputati ai pagamenti. I proventi delle azioni criminali vengono poi ripartiti fra le parti: gli sviluppatori incassano tra il 20-30% del pagamento del riscatto, mentre agli affiliati spetta il rimanente 70-80%.
Questa impostazione è ormai diffusa nell'ambito del cyber crime. Europol, il
World Economic Forum e altri enti hanno allertato da tempo sul modello di business organizzato del cyber crime, in cui i cyber criminali non sono lupi solitari, ma componenti di
organizzazioni strutturate e ben organizzate in cui ciascuno ha un ruolo definito.
L'attività di Egregor è iniziata a metà settembre 2020, in concomitanza con lo smantellamento delle attività di Maze. Stando alle fonti qualificate, questa organizzazione criminale avrebbe ereditato gran parte del codice di Maze, qualificandosi a tutti gli effetti come suo successore. Sfrutta anche le stesse note di riscatto e la stessa denominazione del sito di pagamento.
Da allora Egregor è diventato rapidamente attivo, grazie alla presenza fra le sue fila di
esponenti esperti e qualificati. Seguendo un copione ormai diffuso nel cyber crime, gli affiliati sono anche usi a collaborare con altri gruppi criminali quando si presenta l'opportunità di unire le forze per centrare gli obiettivi. Nello specifico, a novembre, il gruppo Egregor ha collaborato con gli esponenti del malware Qbot per ottenere l'accesso alle reti delle vittime, aumentando il volume degli attacchi.
Andamento degli attacchi di Egregor
Gli esperti di Coveware (esperti nella remediation di attacchi ransomware) hanno annotato che a un certo punto l'attività di Egregor è stata così intensa da
mettere in lista d'attesa le vittime per negoziare il pagamento dei riscatti. Forse per questo motivo, da dicembre 2020 gli attacchi hanno rallentato. In tutto, comunque, dall'inizio dell'attività si contano all'incirca 200 vittime.
Fra le ipotesi, potrebbe esserci lo spostamento degli affiliati verso un altro RaaS. Ma potrebbe anche essersi verificato un problema tecnico o un cyber attacco. A gennaio 2021, infatti, il sito di Egregor è andato offline per circa due settimane, e quando è tornato aveva evidenti problemi.