Egregor detiene un golpe, pero el ransomware probablemente …



De manera similar a las eliminaciones de ransomware anteriores, esta interrupción del modelo de ransomware como servicio probablemente será de corta duración, dicen los expertos en seguridad.

Una operación colaborativa de aplicación de la ley entre las autoridades francesas y ucranianas ha llevado al arresto de varios presuntos delincuentes cibernéticos detrás de una importante operación de ransomware conocida como Egregor, dijeron las fuentes el miércoles.

Los arrestos de varios ciudadanos ucranianos por parte de las autoridades ucranianas y francesas, que ocurrieron la semana pasada, se produjeron cuando el sitio de filtración de datos del grupo también sufrió una interrupción, informa la firma de seguridad Electronic Shadows. Si bien el golpe uno-dos probablemente obstaculizará la operación a corto plazo, las operaciones de ransomware generalmente se recuperan después de un tiempo.

Estos arrestos subrayan el patrón creciente del éxito de las agencias de aplicación de la ley en la persecución de cargos contra algunas bandas de delitos cibernéticos, dice Jamie Hart, analista de inteligencia de amenazas cibernéticas de Digital Shadows.

«Desde principios de 2021, ver a las fuerzas del orden coordinarse para acabar con NetWalker, acabar con Emotet y ahora han acabado con Egregor, muestra que la cooperación está mejorando y que las fuerzas del orden se están acostumbrando a esto», dice.

El arresto de varias personas sospechosas de tener vínculos con la operación de ransomware como servicio Egregor es el último éxito. En enero, el Departamento de Justicia de EE. UU. Arrestó a un ciudadano canadiense y confiscó casi $ 500,000 en criptomonedas como parte de su investigación sobre la operación de ransomware Netwalker. Un día antes, una alianza internacional de agencias policiales cerró la botnet Emotet al hacerse cargo de la infraestructura que utilizaban sus operadores.

Sin embargo, incluso con un puñado de operaciones importantes interrumpidas, es probable que las grandes campañas de ransomware no se vean obstaculizadas por mucho tiempo. Cuando las autoridades y la industria privada colaboraron para acabar con la botnet Trickbot, sus atacantes continuaron operando, aunque a un ritmo más moderado.

«Estos son excelentes ejemplos de lo que puede suceder cuando las fuerzas del orden y el sector privado cooperan para acabar con los principales actores de malware», dice Sean Gallagher, investigador senior de la firma anti-malware Sophos. «Dicho esto, son temporales. Si eliminas a un afiliado o al proveedor de infraestructura y no obtienes al desarrollador, la única forma de matar a esta serpiente es cortarle la cabeza. Entonces, si no lo haces, Si consigues a los desarrolladores, volverá «.

No está claro si la operación contra el grupo detrás de Egregor logró obtener la cabeza de esa «serpiente» en unique. La semana pasada, las autoridades ucranianas y francesas arrestaron a varios presuntos miembros del grupo Egregor, que se cree que está detrás de los ataques a varios cientos de organizaciones, según un artículo en la publicación, France Inter.

La cooperación entre las agencias de aplicación de la ley es un buen augurio para el futuro, dice Michael Gorelik, director de tecnología de la firma de seguridad Morphisec.

«Hoy tenemos un intercambio de información mucho mejor que nunca», dice. «El hecho de que haya varios proveedores, incluidos nosotros, que cooperen juntos y compartan información entre ellos y con las autoridades, ha sido de gran ayuda. Estos actores cometen errores todo el tiempo y podemos capitalizarlos».

Egregor se ha adherido asiduamente a una táctica de ransomware conocida como «doble extorsión», en la que los atacantes no solo cifran los datos empresariales críticos, sino que también amenazan con liberarlos públicamente. La mayoría de los grupos de ransomware han adoptado la táctica de alojar sitios de filtración de datos donde se publica la información robada.

El sitio de fuga de datos de Egregor, sin embargo, ha experimentado interrupciones desde principios de este año, según Electronic Shadows y Sophos.

«Sé que su sitio ya no funciona», dice Hart de Electronic Shadows. «Ha estado subiendo y bajando desde principios de año, así que no estoy seguro si esto tiene que ver con los arrestos o si es algo que está sucediendo por otra razón».

Si bien los expertos en seguridad no esperan que estos arrestos tengan un impacto a largo plazo, hay un esfuerzo que podría hacer que el ransomware no sea rentable: hacer que los pagos de rescate sean ilegales. El Departamento del Tesoro de EE. UU. Ya emitió una regla bajo la Oficina de Control de Activos Extranjeros (OFAC) que establece que los pagos a entidades sancionadas podrían violar las regulaciones de la OFAC, ya que los fondos podrían usarse contra los Estados Unidos.

Gorelik de Morphisec señala que una implementación más amplia de esa regla podría reducir drásticamente el incentivo para que los ciberdelincuentes apunten a empresas estadounidenses.

«Evitar los pagos o tener una restricción en los pagos, eso definitivamente tiene un impacto en los operadores de malware», dice. «Si tienes prohibido pagar, no tiene sentido atacarte».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Looking at, MIT&#39s Technologies Overview, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial