egregor ransomware Fonte foto: vchalup - stock.adobe.com
SICUREZZA INFORMATICA

Il nuovo virus che ricatta la vittima e poi propone un contratto

Il gruppo di hacker che sta diffondendo il malware Egregor si muove sempre più come una azienda: ora spunta un contratto con precise clausole per salvare i propri dati.

Egregor Team Press Release – November 30 2020“: non è un comunicato stampa di una ignota azienda americana, ma l’incipit dell’ultima comunicazione ufficiale dell’Egregor Team, cioè il gruppo di hacker che sta infettando i computer di mezzo mondo con il pericolosissimo virus Egregor. Un collettivo di cybercriminali che si muove sempre più come una azienda, tanto è vero che ormai parla apertamente di “contratti" stipulati con le proprie vittime, che chiama “clienti“.

Sembrerebbe una presa in giro, ma non lo è poi molto visto che Egregor è un malware di tipo ransomware. Cioè un virus che, una volta entrato in un dispositivo, cripta e copia tutti i dati che trova e poi chiede un riscatto alla vittima. In cambio dei soldi avrà indietro i suoi dati e, se il “cliente" paga, i dati privati non verranno rivelati in pubblico. Un riscatto più che un contratto, come il termine inglese “ransom" conferma. Eppure, come detto, l’Egregor Team si muove proprio come una azienda e ha reso pubblico questo contratto, affinché le prossime vittime sappiano già cosa devono fare se vogliono tornare in possesso dei propri dati e non vogliono che le proprie informazioni vengano divulgate in pubblico. Ecco cosa c’è scritto in questo contratto.

Il contratto di Egregor

L’Egregor Team, tramite la sua ultima comunicazione ufficiale, vuole sia spaventare che rassicurare le sue future vittime. Il “comunicato stampa" recita infatti: “Attenzione! Se hai stipulato un contratto con noi, tutte le conseguenze descritte in questo comunicato non ti toccheranno. Noi rispettiamo sempre i termini del contratto“. Una ditta seria, quindi, con la quale fare affari, “di noi ti puoi fidare“.

Poi nel “contratto" compaiono le clausole:

  • Prima che tu decida se avere un contratto con noi oppure no le tue informazioni non verranno pubblicate o rivelate in alcun modo
  • Nel caso tu non ci contatti entro tre giorni pubblicheremo l’1%-3% delle tue informazioni. La struttura dei tuoi file non verrà rivelata a terze parti
  • In caso di contratto con noi tutte le informazioni verranno cancellate, senza possibilità di recupero. Ti verrà fornito un report sull’eliminazione dei file.
  • Poi il Team ribadisce di aver sempre rispettato i patti e che, mediamente, le società di data recovery fanno pagare dal 10% al 50% in più del riscatto richiesto per decriptare i dati. Insomma: conviene pure!

I problemi, invece, arrivano se il “contratto" non viene stipulato. Cioè se non si paga il riscatto chiesto dall’Egregor Team.

Virus Egregor: che succede se non paghi

Veniamo alle note dolenti: se la vittima si rifiuta di pagare, che succede? Anche in questo caso l’Egregor Team ha una lista puntata, chiara ed esplicita:

  • I tuoi dati saranno caricati online e resi pubblici, oppure no in caso tu faccia un contratto con noi e paghi per i dati
  • La struttura dei tuoi file sarà mostrata a terze parti affinché possano scegliere cosa comprare, a meno che tu non faccia un contratto
  • I tuoi file saranno venduti e non ci importa cosa ne farà chi li ha comprati né dove verranno pubblicati
  • il team, infine, specifica che non rispondere alla richiesta di riscatto equivale a rifiutare il contratto. Con tutte le sue conseguenze.

Perché Egregor è pericoloso

Tutte queste parole sarebbero semplicemente una inutile manfrina, se non fosse che il virus Egregor è veramente pericoloso. Tecnicamente è un ransomware, cioè un virus che cripta i file e chiede soldi per decriptarli. Ma in realtà può fare molto di più.

A metà novembre Egregor è stato infiltrato nella rete del gigante sudamericano della grande distribuzione Cencosud, al quale è stato richiesto un riscatto del quale si sa però poco o nulla. Quello che è certo, però, è che Cencosud ha “rifiutato il contratto" e ha subito le conseguenze di questa decisione.

Dopo tre giorni dalla prima richiesta, infatti, è stata lanciata la prima ritorsione: dalle stampanti degli scontrini di centinaia di negozi hanno cominciato a uscire, a ripetizione, messaggi che ribadivano la richiesta di riscatto: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.

Una scena di sicuro non bella da vedere né per i dipendenti degli store né per i clienti. Decisamente un enorme danno di immagine, ma non solo: il reparto IT di Cencosud si è trovato costretto a bloccare e isolare tutta la rete interna, compresi i pagamenti elettronici, per tentare di arginare l’infezione virale di Egregor.

Se il contratto è “professionale“, quindi, il “prodotto" non è da meno.

© Italiaonline S.p.A. 2021Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963