Une opération conjointe entre les polices française et ukrainienne a conduit à l’arrestation de plusieurs personnes en lien avec le groupe se trouvant derrière le ransomware Egregor. Les autorités ont réussi à retracer les paiements des rançons et localiser les cybercriminels.
La coopération entre les autorités policières de plusieurs pays commence à porter ses fruits dans la lutte contre la cybercriminalité et en particulier sur le front des ransomwares. Dernier exemple en date, les forces de l’ordre françaises et ukrainiennes ont mené une opération conjointe conduisant à l’arrestation de plusieurs membres liés au groupe de ransomware Egregor. Les interpellations se sont déroulées en Ukraine.
Selon nos confrères de France Inter, l’histoire commence par une enquête lancée à l’automne dernier par le parquet J3 Cyber du Tribunal de grande instance de Paris. Celle-ci visait notamment plusieurs affaires de ransomwares ayant touché des entreprises françaises. Parmi elles, on retrouve les victimes d’Egregor, à savoir le journal Ouest-France, Ubisoft ou le transporteur Gefco. Les enquêteurs de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) ont pu retracer les paiements en monnaies virtuelles des rançons et localiser les cybercriminels en Ukraine.
Une chute d’activité déjà amorcée en décembre 2020 ?
Les personnes arrêtées seraient des affiliées d’Egregor dont le travail consistait à mener les attaques. Certaines d’entre elles sont aussi soupçonnées d’avoir apporté un support logistique et financier au groupe. Aucune information n’a été cependant communiquée sur le nombre de personnes arrêtées. Ces interpellations ne signifient pas que le gang est abattu, car Egregor fonctionne comme un ransomware as a service (RaaS). Les affiliés utilisent le rançongiciel développé par le gang et partagent les revenus des rançons. Dans le cadre de cet arrangement, les développeurs gagnent entre 20 et 30 % du paiement de la rançon, tandis que les affiliés gagnent les 70 à 80 % restants.
Egregor s’est fait connaître à la mi-septembre 2020 au même moment où un autre groupe connu sous le nom de Maze annonçait la fin de ses activités. Plusieurs spécialistes avaient alors soupçonné que les affiliés de Maze avaient déménagé chez Egregor. Le tableau de chasse de ce dernier s’est alors fortement enrichi avec plus de 200 entreprises victimes. Néanmoins, les experts en cybersécurité ont constaté une baisse de l’activité d’Egregor depuis le début décembre 2020. En janvier dernier, le site du groupe a été hors ligne pendant deux semaines avant de réapparaître avec des bugs. Est-ce un effet des opérations judiciaires ou de la guerre des gangs ?