Στις 12 Φεβρουαρίου, ο γαλλικός ραδιοφωνικός σταθμός “France Inter” ανακοίνωσε ότι μέλη του καρτέλ του Egregor ransomware συνελήφθησαν στην Ουκρανία. Οι συλλήψεις, οι οποίες δεν έχουν ανακοινωθεί ακόμα επίσημα, επήλθαν ύστερα από έρευνα που διεξήγαν από κοινού η γαλλική και η ουκρανική αστυνομία. Τα ονόματα των υπόπτων δεν έχουν κυκλοφορήσει. Σύμφωνα με το France Inter, οι συλληφθέντες παρείχαν πειρατεία, υλικοτεχνική και οικονομική υποστήριξη στη συμμορία του Egregor ransomware.

Η συμμορία του Egregor, η οποία άρχισε να λειτουργεί τον Σεπτέμβριο του 2020, λειτουργεί με βάση ένα μοντέλο Ransomware-as-a-Service (RaaS). Οι χάκερς νοικιάζουν πρόσβαση στο πραγματικό στέλεχος ransomware, αλλά βασίζονται σε άλλες hacking συμμορίες για να ενορχηστρώσουν εισβολές σε εταιρικά δίκτυα και να αναπτύξουν το ransomware, με στόχο την κρυπτογράφηση αρχείων.

Τα θύματα που αρνούνται να υποκύψουν στους εκβιασμούς της συμμορίας, συχνά αναφέρονται σε ένα site διαρροής, όπου οι χάκερς προσπαθούν να τα «ντροπιάσουν» για να πληρώσουν τα απαιτούμενα λύτρα. Επιπλέον, οι χάκερς του Egregor ransomware συχνά κοινοποιούν εσωτερικά έγγραφα και αρχεία για να τιμωρήσουν τα θύματα που δεν πληρώνουν.

Εάν τα θύματα πληρώσουν τα λύτρα, η συμμορία που ενορχήστρωσε την εισβολή διατηρεί το μεγαλύτερο μέρος των χρημάτων, ενώ η συμμορία του Egregor παίρνει ένα μικρό μερίδιο των χρημάτων. Στη συνέχεια, η συμμορία εκδίδει αυτά τα κέρδη μέσω του οικοσυστήματος Bitcoin, μέσω υπηρεσιών Bitcoin mixing.

Όπως αναφέρει το France Inter, οι γαλλικές αρχές συμμετείχαν στην έρευνα επειδή πολλές μεγάλες γαλλικές εταιρείες επλήγησαν το 2020 από το Egregor, όπως η εταιρεία gaming “Ubisoft” και η εταιρεία logistics “Gefco”. Έτσι, η γαλλική αστυνομία, μαζί με “Ευρωπαίους ομολόγους”, μπόρεσαν να εντοπίσουν τα μέλη και τις υποδομές του Egregor στην Ουκρανία.

Σύμφωνα με το ZDNet, οι συλλήψεις που πραγματοποιήθηκαν στην Ουκρανία φαίνεται να είχαν πολύ μεγάλο αντίκτυπο στις επιχειρήσεις του Egregor ransomware. Συγκεκριμένα, ο Allan Liska, ερευνητής ασφαλείας στην εταιρεία threat intelligence “Recorded Future”

, ανέφερε στο ZDNet πως η εταιρεία παρατήρησε ότι η υποδομή του Egregor, συμπεριλαμβανομένων του site εκβιασμού και της υποδομής εντολών και ελέγχου (C2), βρίσκονται εκτός σύνδεσης τουλάχιστον από τις 12 Φεβρουαρίου.

Το Egregor εξελίχθηκε σε μία από τις πιο επικίνδυνες ransomware συμμορίες του 2020, πλήττοντας μεγάλο αριθμό εταιρειών σε όλο τον κόσμο. Ενώ το Egregor RaaS κυκλοφόρησε επίσημα τον Σεπτέμβριο του 2020, πολλοί ειδικοί ασφαλείας πιστεύουν ότι η συμμορία του Egregor είναι στην πραγματικότητα μια αναβαθμισμένη και μετονομασμένη έκδοση του καρτέλ του Maze ransomware, που άρχισε να λειτουργεί στα τέλη του 2019. Η συμμορία του Maze σταμάτησε απότομα τη δράση της τον Σεπτέμβριο του 2020, λίγες εβδομάδες μετά την έναρξη της λειτουργίας του Egregor.

Δεν είναι σαφές ποια θα είναι η έκταση της ζημιάς που θα προκαλέσουν οι συλλήψεις στο μέλλον του Egregor. Τον περασμένο μήνα, οι αρχές των ΗΠΑ και της Βουλγαρίας διέκοψαν τη συμμορία του Netwalker ransomware, καταλαμβάνοντας τους servers και συλλαμβάνοντας έναν από τους συνεργάτες της και από τότε η υπηρεσία RaaS είναι ανενεργή.

Μια αναφορά της Chainalysis που δημοσιεύθηκε στις αρχές του μήνα ανέφερε τη συμμορία Egregor / Maze ως μία από τις 5 πιο κερδισμένες ransomware συμμορίες, με κέρδη μεταξύ 40 εκατομμυρίων και 50 εκατομμυρίων δολαρίων.