egregor赎金瓶员工在中断时被逮捕

根据France France Inter的说法，eGregor赎金瓶网络犯罪团伙的一些附属公司上周逮捕了法国 - 乌克兰执法刺痛，该公司首先打破了这个故事。

与此同时，根据我们姐妹的标题Lemagit，大部分赎金软件的基础设施也似乎已经脱机了，可能是由于举办困难。

逮捕在2020年秋季开始的联合探针结束时，法国司法警察和乌克兰执法部门承担，支持Europol的支持。

调查人员显然能够追踪比特币支付的赎金，返回乌克兰的嫌疑人，他们从事为eGregor提供黑客，后勤和财政支持。

Emsisoft的Brett Callow表示，最近几周的eGregor确实活跃不太活跃，源于其基础设施的问题，但警告说，这是不可能说这种中断是否涉及联合执法行动。

“一般来说，很高兴看到执法终于取得了成功，”他说。“赎金软件组已经运行几乎完全有罪，这意味着，直到现在，有很少的威慑力量。

“在Netwalker的操作被中断后，另一个小组得到了冷的脚，停止运营并递给我们他们的钥匙。让我们希望在每一个胸围后发生。“

在许多帮派中，对于他们使用现在臭名昭着的双重裁量策略，eGregor在2020年底涂抹在迷宫的链接中，它在同一时间包裹着它的操作。它作为一个赎金软件的服务（RAA），抱怨其前往关联公司以换取其削减，一般约占总量的30％。

根据FBI的说法，它在世界各地的一系列受害者大使了超过150个，其中包括美国书籍Barnes＆Noble，金融服务公司Randstad和法国电子游戏Studio Ubisoft。它也被怀疑在对房地产代理Foxtons攻击中被盗的数据泄漏。

各种方法用于将eGregor分配通过诸如若干可能的向量的受害者环境，例如网络钓鱼或远程桌面协议（RDP）开发，以及通过Qakbot，在同一静脉中的进化银行木匠作为MODET。根据一些分析师，还有关于在Microsoft Exchange中的已知远程代码执行（RCE）漏洞的报告，以及在Adobe Flash中的一些长披露的漏洞。

与许多Ransomwares一样，eGregor不会执行，如果它发现其目标系统的默认语言ID是俄罗斯，乌克兰语或来自前苏联国家的其他几种语言。

一旦他们的数据受到损害，受害者通常会被告知他们有三天的时间来与团伙取得联系，此时他们将开始发布exfiltrated数据。eGregor赎金说明通常还要在客户，合作伙伴和媒体面前威胁他们的受害者。

就像一些其他赎金瓶帮派 - 特别是迷宫 - eGregor的运营商似乎相信他们正在运行一种渗透测试服务，这是一个普遍的测试服务，这类服务的业务可能从合法的网络安全公司购买，并提供支付赎金的人有关其组织安全的建议。

记录的未来的艾伦·斯蒂斯卡表示，目前的中断表明，在某些方面，eGregor已成为自己成功的受害者。

“从迷宫分裂后，eGregor与Qakbot Malware合作进行分销，似乎导致获得新的受害者取得巨大成功，”他说。“由于他们的raas模型的工作方式，这一成功导致了一位等待谈判赎金的受害者的积压 - 意味着受害者有时候会在几周甚至一个月才能支付赎金。

“受害者及其raas附属公司的挫败感似乎导致许多​​关联者转向不同的raas菌株，导致感染较少。因此，即使在执法行动之前，成功的eGregor攻击就在衰落中，没有明显的攻击途径。“