Según informes oficiales, una operación conjunta entre las fuerzas políciales de Francia y Ucrania provocó el arresto de varios miembros de la operación de ransomware Egregor en Ucrania. Como informó por primera vez France Inter, el martes, las fuerzas del orden realizaron los arrestos después de que las autoridades francesas pudieran rastrear los pagos de rescate a personas ubicadas en Ucrania. 

El Departamento de Justicia de los Estados Unidos emitió un comunicado con fecha del día 28 de enero de 2021 a propósito del operativo multilateral a partir del cual se confiscó y desarticuló la infraestructura desde la cual se distribuía el malware, por vía mayoritariamente de la técnica de phishing a direcciones de correo electrónico.

"El malware y botnet denominados Emotet infectaron cientos de miles de computadoras en todo Estados Unidos, incluida nuestra infraestructura crítica, y causaron millones de dólares en daños a las víctimas en todo el mundo", dijo el Fiscal General Adjunto interino John Carlin. "Los ciberdelincuentes no escaparán de la justicia independientemente de dónde operen. Trabajando con socios públicos y privados de todo el mundo, los perseguiremos sin descanso mientras usamos todo el arsenal de herramientas a nuestra disposición para interrumpir sus amenazas y procesar a los responsables".

Según una declaración jurada de orden de registro sin sellar, Emotet es una familia de malware que se dirige a industrias críticas en todo el mundo, incluyendo la banca, el comercio electrónico, la salud, la academia, el gobierno y la tecnología. El malware Emotet infecta principalmente a los ordenadores de las víctimas a través de mensajes de correo electrónico de spam que contienen archivos adjuntos maliciosos o hipervínculos. Los correos electrónicos fueron diseñados para parecer provenir de una fuente legítima o de alguien en la lista de contactos del destinatario. Una vez que ha infectado un ordenador víctima, Emotet puede entregar malware adicional al equipo infectado, como ransomware o malware que roba credenciales financieras. El ransomware, en particular, ha aumentado en alcance y gravedad en el último año, perjudicando a las empresas, los proveedores de atención médica y las agencias gubernamentales, incluso cuando el país ha tenido dificultades para responder a la pandemia.

Se cree que las personas arrestadas son afiliados de Egregor cuyo trabajo era piratear redes corporativas e implementar ransomware en empresas de alto nivel. France Inter también informa que algunas personas proporcionaron apoyo logístico y financiero. Durante el año pasado, Egregor ha atacado a numerosas organizaciones francesas, incluidas Ubisoft, Ouest France y, más recientemente, Gefko, como así también la cadena Cencosud. 

En este momento, los sitios web Tor de Egregor están fuera de línea, incluido el sitio de pago y el sitio de filtración de datos de la operación. Con el sitio de pago Tor inaccesible, las víctimas no pueden contactar al grupo de hackers, pagar un rescate o descargar descifradores de rescates pagados anteriormente. No se sabe si los problemas con la infraestructura de la banda de ransomware están relacionados con la operación policial.

Egregor opera como un ransomware-as-a-service (RaaS) donde los afiliados se asocian con los desarrolladores de ransomware para realizar ataques y dividir los pagos del rescate. En asociaciones como esta, los desarrolladores de ransomware son responsables de desarrollar el malware y ejecutar el sitio de pago. Al mismo tiempo, los afiliados son responsables de piratear las redes de las víctimas y desplegar el ransomware. Como parte de este acuerdo, los desarrolladores ganan entre el 20 y el 30% del pago de un rescate, mientras que los afiliados obtienen el otro 70-80%.

Innovación

Netflix cambia para siempre: cómo vas a poder usarlo ahora

¿Qué pasara con los datos?

En el caso del hackeo a Cencosud, la organización liberó 38 GB de datos de sus clientes en la Argentina, Chile, Paraguay y Colombia. Por el momento, esa base pudo haber sido descargada por otros cibercriminales que la utilizarían para estafas y ataques de suplantación de identidad. Más allá de que la desactivación de la red es una buena noticia para las empresas afectadas, las bases de datos ya liberadas serán difíciles de rastrear y el daño ya está hecho.

Es posible que la información sea usada en otros ataques y ya está fuera del control de Egregor.