Polizei verhaftet angeblich Egregor Ransomware-Mitglieder

  • Berichten zufolge hat die französische und ukrainische Polizei in der vergangenen Woche mehrere Mitglieder der Ransomware-Gruppe Egregor verhaftet.

    Die Verdächtigen wurden über die Analyse von Blockchain-Datensätzen aufgespürt, nachdem Opfer der Ransomware ihre Erpresser in Bitcoin bezahlt hatten, so der öffentlich-rechtliche Radiosender France Inter.

    Bei den in der Ukraine Verhafteten handelt es sich vermutlich um Hacker sowie um Personen, die die Ransomware-a-Service (RaaS)-Gruppe logistisch und finanziell unterstützt haben.

    Das Pariser Tribunal de Grande Instance, Frankreichs meistbeschäftigtes Gericht, eröffnete im letzten Herbst eine Untersuchung gegen Egregor, nachdem mehrere französische Organisationen Opfer der Gruppe wurden. Dazu gehörten der Videospielentwickler Ubisoft, der Logistikriese Gefco und die Zeitung Ouest France.

    Erst vor wenigen Tagen wurde das Krankenhauszentrum Dax-Côte d ‘Argent im Südwesten Frankreichs von Egregor offline genommen.

    Es ist nicht bekannt, wie viele zu diesem Zeitpunkt verhaftet wurden, oder ob sie die ursprünglichen Entwickler der Ransomware oder eine der vielen Gruppen waren, die ihre Malware für Angriffe gegen einen Anteil am Gewinn “vermieten”.

    Die Gruppe selbst schien aus der Asche von Maze aufzusteigen. Es ist nicht bekannt, ob die ursprünglichen Mitglieder in die andere Gruppe involviert waren, aber sicherlich wechselten viele der Partner hinüber.

    Die Enthüllungen über die Aktivitäten der Strafverfolgungsbehörden kommen nach einem relativ starken Rückgang der Angriffe mit Egregor in den letzten Monaten oder so.

    Tatsächlich war die Website, die zur Veröffentlichung gestohlener Daten verwendet wird, im Januar zwei Wochen lang außer Betrieb, was einige zu der Vermutung veranlasste, dass die Ermittler in der Lage gewesen sein könnten, die Operation zu stören. Als Infosecurity die Seite vor ein paar Tagen besuchte, um einen Foxtons-Verletzungsfall zu bestätigen, funktionierte keiner der Links zum Herunterladen der Daten.

    Forscher behaupteten letzte Woche auch, Verbindungen zwischen Egregor und Angriffen aus Russland in der Vergangenheit gefunden zu haben, sowie einen ungewöhnlichen Benutzernamen, der auch von der REvil-Gruppe verwendet wurde.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com