El ransomware Egregor apareció en septiembre de 2020 y se estima que ya ha afectado a más de 150 empresas en Europa y Estados Unidos, causando pérdidas de más de 80 millones de dólares. Sin embargo, en los últimos días está viviendo sus momentos más complicados.
Primero con la desarticulación en Ucrania de un grupo de ciberdelincuentes asociado a él, que tuvo lugar el pasado 9 de febrero tras una operación conjunta de las autoridades estadounidenses, francesas y ucranianas. Y, posteriormente, con la interrupción de su infraestructura de comando y control, y con el cierre de la página web de extorsión que utiliza el grupo para coaccionar a sus víctimas.
El medio CSO Estados Unidos ha informado sobre ello y, según señala, las detenciones de los miembros relacionados con Egregor en Ucrania no se hicieron oficiales hasta este miércoles 17 de febrero, doce días después de que se produjeran, y cinco días más tarde de que la radio pública francesa France Inter diera la noticia.
Siguiendo la información de CSO EE.UU., el Servicio de Seguridad de Ucrania (SSU) fue el encargado de confirmar esta operación y aconsejó a las autoridades de todo el mundo que posean información sobre las víctimas a ponerse en contacto con su organismo. Además, el SSU también se apoderó de información sobre las redes comprometidas así como de otras pruebas de la actividad del grupo.
La compañía de ciberseguridad Intel 471 también informó en su blog de esta operación contra el grupo de ransomware Egregor. "Intel 471 se enteró de que las autoridades apuntaban a los supuestos líderes de la red, así como a los asociados que ayudaron a ejecutar los programas de afiliados relacionados", subrayó la firma.
Egregor, el "sucesor" del grupo de ransomware Maze
CSO Estados Unidos también explica las características del grupo Egregor y lo compara con Maze, otro grupo destacado de ransomware. Según indica, Egregor apareció poco después de que Maze cesase su actividad, de ahí su rápido crecimiento, y, con el cierre de Maze, la mayoría de sus afiliados se trasladaron a Egregor.
Asimismo, señala que tanto Maze como Egregor utilizan un modelo de ransomware como servicio que se basa en que otros ciberdelincuentes llamados afiliados entren en las redes corporativas y distribuyan el ransomware por una parte de los rescates. Además, subraya que ambos grupos también utilizan una técnica de doble extorsión en la que, "además de encriptar archivos, los atacantes roban datos de las víctimas y amenazan con difundirlos si no se paga el rescate. Las víctimas se enumeran y se ridiculizan públicamente en un sitio web de extorsión mantenido por el grupo".