This post is also available in: Português
Uma ação policial, ainda com poucos detalhes revelados por questões de segurança, prendeu membros do cartel de ransomware Egregor na Ucrânia. As detenções são fruto de uma investigação conjunta entre a polícia francesa e a ucraniana.
Até o momento, nenhum nome foi divulgado. Porém, já se sabe que os presos forneceram apoio aos crackers, tanto do ponto de vista logístico quanto financeiro.
Ativa desde setembro do ano passado, a gangue Egregor opera com base em um modelo de Ransomware-as-a-Service (RaaS). Assim, eles criam e alugam o sistema de invasão, que então é utilizado por seus clientes para penetrar em redes corporativas e implantar o ransomware de criptografia de arquivos.
Quem se recusar a pagar o resgate acaba tendo alguns arquivos publicados em um site de vazamento, que pode ser acessado por qualquer pessoa. É uma tentativa de “incentivar” as vítimas a cederem à chantagem e entregar o dinheiro solicitado, para que os cibercriminosos devolvam o acesso. Mesmo que se pague – prática não recomendada – não há garantia de que tudo voltará à normalidade, pois é uma negociação feita com criminosos – que por razões óbvias podem não cumprir sua palavra.
Se as vítimas pagarem o resgate, a gangue que comandou a intrusão fica com a maior parte da verba, enquanto a Egregor recebe um valor menor. De acordo com o relatório da France Inter, os presos são alguns desses parceiros afiliados da gangue Egregor – ou clientes – que ajudam a sustentar suas operações.
O documento mostra ainda que as autoridades francesas se envolveram na investigação depois que várias grandes empresas do país foram atingidas pelo Egregor no ano passado, como a desenvolvedora de jogos Ubisoft e a empresa de logística Gefco.
O site está off
Algumas consequências da ação policial já podem ser vistas. A infraestrutura do Egregor, incluindo o local de extorsão e o comando e controle, foi colocado offline.
Embora não exista agora uma bandeira da polícia no site, como muitas vezes haveria nesses casos, é incomum para equipes de ransomware com recursos tão vastos quanto o Egregor ter toda a sua infraestrutura desconectada ao mesmo tempo.
Na realidade, muitos especialistas em segurança acreditam que a gangue Egregor é, na verdade, o antigo grupo de ransomware Maze, que começou a operar no final de 2019.
A gangue Maze encerrou repentinamente suas atividades em setembro de 2020, pouco tempo depois que o Egregor começou a operar. Relatórios de empresas de inteligência na época diziam que o Maze notificou muitos de seus principais afiliados para se mudarem para o Egregor.
Assim, acredita-se que se trata de uma versão atualizada e reformulada do Maze, trocando o nome para despistar quem os investigasse. As duas variantes combinadas foram responsáveis por 34,3% das vítimas publicadas em todos os sites de extorsão de ransomware – o que mostra seu poder devastador.
Impactos
Apesar das prisões, não estão claros quais serão os danos da ação policial no futuro do Egregor. Porém, no mês passado, as autoridades dos Estados Unidos e da Bulgária desmantelaram a gangue de ransomware Netwalker, confiscando servidores e prendendo uma de suas afiliadas – e o serviço está inativo desde então. Há uma boa chance de que aconteça o mesmo com o Egregor.
Seria uma ação de grande impacto, pois um relatório da Chainalysis, publicado no início do mês, listou a gangue Egregor / Maze como uma das 5 maiores no cenário do ransomware mundial, com faturamento entre US$ 40 milhões e US$ 50 milhões.
Com o desmantelamento do Botnet Emotet em janeiro, o combate aos crimes virtuais ganha agora mais um capítulo positivo. Se o ritmo continuar, o ano de 2021 tende a trazer ainda mais boas notícias para a segurança digital – um alívio para usuários e empresas.
This post is also available in: Português
