Según un informe de la emisora de radio France Inter, recientemente se ha detenido a varios ciberdelincuentes relacionados con el ransomware Egregor.
Todavía no está claro si hay sospechosos detenidos tanto en Francia como en Ucrania, pero France Inter dice:
Esta ha sido una importante operación franco-ucraniana. La policía de los dos países han estado trabajando conjuntamente en un esfuerzo por desmantelar un grupo de ciberdelincuentes sospechoso de iniciar cientos de ataques de ransomware que se remontan a septiembre de 2020. […] La policía arrestó a varios sospechosos de trabajar con los responsables de Egregor, que proporcionaban apoyo logístico, financiero y tecnológico.
RaaS
Como muchas bandas de ransomware en estos días, Egregor no es un equipo pequeño e independiente.
Egregor es un ejemplo de lo que se conoce como RaaS, abreviatura de ransomware-as-a-service (ransomware como servicio), un nombre que se deriva irónicamente de la terminología de la industria como IaaS (infraestructura como servicio) y SaaS (software como Servicio).
Ransomware-as-a-service generalmente significa que los operadores técnicos (los criminales que codifican el ransomware y cobran el dinero de las víctimas) no tratan directamente con esas víctimas.
En cambio, los delincuentes detrás de una operación de RaaS proporcionan un portal web a través del cual los “afiliados” pueden registrarse para adquirir muestras de malware, después de lo cual depende de los afiliados llevar a cabo el “trabajo de calle” de irrumpir en redes, difundir el ransomware y realizar las demandas de rescate en las que culminan la mayoría de los ataques de ransomware.
Los suministradores del ransomware luego cobran las criptomonedas pagadas por las víctimas y pagan al afiliado un porcentaje de las ganancias.
Cada afiliado en un esquema RaaS generalmente obtiene el 70% de los “ingresos” de cada ataque que orquestan, mientras que el núcleo de la banda se queda con el 30% de las ganancias de cada pago.
Solo podemos suponer que los ladrones eligieron esa tarifa porque el 30% es una cifra establecida desde hace mucho tiempo en el mundo legítimo de la nube, una a la que los usuarios de servicios como Apple Music o Google Play ya están acostumbrados.
Doble juego del ciberdelincuente
Egregor, como muchas otras variedades de ransomware actuales, no se basa únicamente en cifrar los archivos y luego chantajear para que se pague por la clave de descifrado.
Los afiliados roban datos confidenciales de la víctima, subiéndolos en secreto a un servicio de almacenamiento en la nube, antes de desatar el golpe de gracia de cifrar los datos de los ordenadores de la víctima.
Estos datos robados se utilizan como una segunda amenaza, quizás incluso más aterradora, para la extorsión.
A la víctima se le dice no solo que obtendrá la clave de descifrado si paga y, por lo tanto, podrá retomar su negocio, sino también que sus datos robados serán eliminados y no compartidos en la red.
Dado que los datos robados por los atacantes de ransomware a menudo incluyen secretos de empresa y datos personales sobre los clientes, los delincuentes tienen la amenaza de divulgación de violación de datos, así como los ordenadores bloqueados, presionando a sus víctimas.
Egregor, junto con muchas otras bandas de ransomware, incluso tiene su propio página en la web oscura, donde las empresas que se niegan a pagar son identificadas y avergonzadas, y donde se pueden descargar los datos robados.
La operación policial
Según el informe de France Inter, no parece que los actores principales de la operación Egregor hayan sido detenidos, sino que un grupo de afiliados y “contratados” han sido identificados y arrestados.
Sin embargo, un informe de ZDNet afirma que la infraestructura de Egregor, los servicios en la Dark Web que ofrecen a los afiliados, han estado offline desde el viernes pasado, incluidas las páginas de divulgación de datos de empresas que no han pagado y los servidores que controlan la operaciones del propio malware.
Incluso si el núcleo del grupo todavía está en marcha y listo para resurgir de las cenizas, esta caída y la interrupción operativa asociada son una buena noticia.
Y para cualquiera que sea parte o que haya estado jugando con la idea de convertirse en parte de la escena del ransomware como servicio, asumiendo que es una forma furtiva de unirse de manera indetectable a lo que se siente como los márgenes del ciberdelito, que sirva como aviso de que no es tan invisible o anónimo como se podría pensar, y que, si te detienen en una operación como esta, puedes esperar poca simpatía de los fiscales y jueces.