В Украине арестованы операторы программы-вымогателя Egregor

На этой неделе в Украине арестовали членов картеля-вымогателя «Эгрегор», сообщила французская радиостанция. Франция Интер Об этом сообщили в пятницу со ссылкой на источники в правоохранительных органах.

Аресты, о которых официально не было объявлено, являются результатом совместного расследования французской и украинской полиции.

Источники в разведывательном сообществе, занимающемся угрозами, подтвердили наличие действий правоохранительных органов, но пока отказались от комментариев.

Имена подозреваемых не разглашаются. France Inter заявил, что арестованные подозреваемые оказывали хакерскую, логистическую и финансовую поддержку банде Эгрегора.

Банда «Эгрегор», начавшая свою деятельность в сентябре 2020 года, действует по модели «Вымогатели как услуга» (RaaS). Они арендуют доступ к реальному виду программ-вымогателей, но полагаются на другие банды киберпреступников, которые организуют вторжения в корпоративные сети и развертывают программы-вымогатели, шифрующие файлы.

Жертвы, которые отказываются платить гонорар за вымогательство, часто заносятся в так называемый "место утечки», в надежде пристыдить их и заставить заплатить выкуп. Жертвы, которые не платят, часто в качестве наказания размещают внутренние документы и файлы на сайте утечки «Эгрегора».

Если жертвы действительно платят выкуп, банда, организовавшая вторжение, оставляет себе большую часть средств, а банда Эгрегора получает небольшую долю. Затем банда отмывает эту прибыль через экосистему Биткойн с помощью сервисов микширования биткойнов.

Согласно сообщению France Inter, арестованные подозреваемые считаются некими «филиалами» (или партнерами) банды «Эгрегор», которые помогают поддерживать ее деятельность.

France Inter заявил, что французские власти подключились к расследованию после того, как в прошлом году Egregor пострадал от нескольких крупных французских компаний, таких как игровая студия. Юбисофт и логистическая фирма Гефко.

Расследование было начато в прошлом году, и французская полиция совместно с «европейскими коллегами» смогла выследить членов «Эгрегора» и инфраструктуру в Украине.

Сайт утечки Эгрегора не работает с пятницы

Хотя на момент написания подробности о действиях правоохранительных органов неясны, аресты, похоже, оказали довольно большое влияние на деятельность Эгрегора.

«Recorded Future заметила, что инфраструктура Эгрегора, включая их место вымогательства и инфраструктуру управления и контроля (C2), отключена по крайней мере с пятницы», Аллан Лиска, исследователь безопасности в фирме по анализу угроз Записанное будущее, сказал ЗДНет в электронном письме.

«Хотя полицейского баннера не было, как это часто бывает в этом случае, это необычно для программ-вымогателей. актеры так же хорошо обеспечены ресурсами, как Эгрегор, чтобы одновременно отключить всю свою инфраструктуру», — он добавлен.

Эгрегор сделал более 200 публичных жертв

Аресты в Украине затронули одну из самых активных операций по вымогательству в прошлом году.

Хотя Egregor RaaS официально был запущен в сентябре 2020 года, многие эксперты по безопасности полагают, что банда Egregor на самом деле является более старой группой вымогателей Maze, которая начала свою деятельность в конце 2019 года.

Банда Maze внезапно закрылась в сентябре 2020 года, через несколько недель после начала деятельности «Эгрегора». В отчетах компаний, занимающихся разведкой угроз, говорилось, что банда Maze в частном порядке уведомила многих своих главных «партнеров» о переходе на Egregor RaaS.

В настоящее время многие исследователи безопасности считают, что Egregor RaaS — это обновленная и переименованная версия старой операции Maze.

«Recorded Future отследил 206 жертв, опубликованных на сайте-вымогателе «Эгрегор», а до перехода — 263 жертвы, опубликованных на сайте «Лабиринт», — рассказала Лиска. ЗДНет.

"На эти два варианта в совокупности пришлось 34,3% жертв, опубликованных на всех сайтах-вымогателях (14,9% на Эгрегоре)", - сказала Лиска.

А Отчет о ковеваре опубликованная в прошлом месяце информация подтвердила оценку Recorded Future, в которой Egregor назван второй по активности бандой вымогателей в четвертом квартале 2020 года.

Однако неясно, какой ущерб нанесут действия правоохранительных органов на этой неделе будущему Эгрегора. В прошлом месяце власти США и Болгарии подорвал деятельность банды вымогателей Netwalker захватив серверы и арестовав одного из своих филиалов, с тех пор служба RaaS неактивна.

В отчете Chainaанализа, опубликованном в начале месяца, банда Эгрегора/Лабиринта указана как один из 5 самых зарабатывающих в области программ-вымогателей с доходом от 40 до 50 миллионов долларов.

Это подтвердила Лиска, которая рассказала ЗДНет Среднее требование выкупа со стороны Эгрегора составляло около 700 000 долларов, что делает его одним из самых крупных требований выкупа среди всех семейств программ-вымогателей.

Документация Maze за 2020 год

Но довольно знаменательное событие произошло в прошлом году, в ноябре, когда операторы банды-вымогателя REvil (Sodinokibi) (№1 на отчет о вымогателе Coverware за четвертый квартал 2020 года) утверждает, что установил настоящие личности людей, стоящих за сервисом Maze, их соперник.

#REvil заявил, что располагает информацией, раскрывающей лиц, стоящих за этим #Лабиринт/#Эгрегор и что они напрямую связаны с российским правительством - что #EvilCorp, #Лабиринт, и т. д. все это одна группа, которой руководят 8 человек, связанных с ФСБ. pic.twitter.com/Y7votbk1pP

— pancak3 (@pancak3lullz) 30 ноября 2020 г.

В то время аналитики по безопасности сочли выходку REvil попыткой подорвать публичный имидж конкурента, но никто прокомментировали точность документа, и ZDNet сообщили, что некоторые из них поделились информацией с правоохранительными органами. агентства.