Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

lunedì 15 febbraio 2021
Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

E’ con un’operazione congiunta tra le forze dell’ordine ucraine e francesi che è stata sgominata la banda di cyber attaccanti responsabile dell’operazione ransomware Egregor: sono finiti in carcere non tutti, ma la maggior parte dei membri della gang. L’operazione nasce grazie al tracciamento, da parte della Polizia francese, di alcuni riscatti pagati ad individui che sono poi risultati localizzati in Ucraina. In manette, come detto, non soltanto gli sviluppatori del ransomware, ma anche persone che hanno fornito supporto logistico e finanziario. L’operazione scaturisce da una indagine aperta lo scorso Autunno dal Tribunale di grande istanza di Parigi in seguito a molteplici denunce ricevute sulla gang ransomware di Egregor, che in effetti ha duramente colpito aziende francesi.

Non che la notizia di arresti di questo tipo sia isolata: alcune volte i cyber criminali si tradiscono, sbagliano qualcosa, finiscono rintracciati. Questi arresti però fanno notizia perchè Egregor non solo era atteso come “top ransomware”, ma anche perchè nel suo (breve) periodo di attività ha messo a segno colpi di peso come l’attacco ad Ubisoft o, più recentemente, contro Gefko.

Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

Egregor: ascesa e caduta
La comparsa di Egregor aveva, a suo tempo, messo in forte allarme ricercatori ed esperti di cybersecurity che, addirittura, arrivarono a definirlo come il successore del temibilissimo ransomware Maze. Proprio i legami con Maze portarono l’FBI a diramare uno specifico alert su Egregor il quale, già alla sua prima comparsa, potè contare sull’intera rete di affiliati di Maze transitati in massa al nuovo RaaS.

Per approfondire > Una buona notizia: il ransomware Maze cessa le operazioni

Egregor infatti opera(va) come un RaaS (ransomware as a service) dove gli affiliati collaborano direttamente con gli sviluppatori per diffondere il ransomware e suddividere poi i proventi dei riscatti. In collaborazioni come queste, solitamente, gli sviluppatori mettono a disposizione il ransomware e il sito di pagamento, gli affiliati invece si occupano di distribuire il ransomware irrompendo nelle reti e nelle macchine bersaglio. L’accordo tra gli sviluppatori di Egregor e i suoi affiliati prevedeva che il 20-30% del totale di un riscatto andasse agli sviluppatori, il restante agli affiliati.

Le cose sono inizialmente andate molto bene per i gestori del RaaS, tantoché sono anche state siglate collaborazioni di un certo peso, come quella stretta a Novembre col malware Qbot: grazie a questo accordo gli affiliati poterono sfruttare le reti già infettate grazie all’apposita backdoor che Qbot lascia su ogni sistema violato. Ne conseguì un consistente aumento del volume degli attacchi in pochissimo tempo, al punto tale da obbligare i gestori a organizzare una vera e propria fila per poter gestire i negoziati per il pagamento del riscatto tanto alto era il numero delle vittime.

E’ stato poi all’inizio di Dicembre 2020 che Egregor ha improvvisamente registrato una battuta di arresto, conducendo molti meno attacchi: calo degli attacchi confermato anche da Coveware, società specializzata nella negoziazione con gruppi di cyber attaccanti. Coveware ha dichiarato di aver registrato un drastico calo di attacchi in quel periodo, dovuto, probabilmente, al fatto che una parte degli affiliati potrebbe aver scelto un altro RaaS. A Gennaio addirittura il sito di leak di Egregor, è stato offline per circa due settimane e, una volta tornato online, presentava bug e molti errori: questo fatto insolito ha portato altri autori di minacce ransomware a sospettare che Egregor fosse stato violato dalle forze dell’ordine.

Insomma, difficile dire se sia stata l’operazione delle forze dell’ordine a sgominare la gang di Egregor o se già il team “ci avesse messo del suo”, determinando una serie di alti e bassi che possono aver indotto un vero e proprio fuggi fuggi degli affiliati. In ogni caso, questa minaccia, che in pochi mesi ha fatto oltre 200 vittime, pare essere sgominata. Ed il bilancio delle operazioni delle forze dell’ordine chiuse con successo comincia a farsi interessante, considerando che poche settimane fa si è registrata un’altra vittima eccellente: la botnet Emotet.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy