En septiembre, surgió una nueva marca de ransomware justo cuando la banda de ransomware Maze comenzaba a cerrar sus operaciones. Con el nombre de Egregor (de un término del ocultismo derivado de la palabra griega ἑγρήγορος, “despierto”, un término que se utiliza para referirse a un espíritu parecido a un ángel o una mente grupal), el ransomware aprovecha los datos robados durante el ataque para extorsionar a la víctima a cambio de un pago, siguiendo el camino abierto por Maze.
La nota de rescate de Egregor dice a sus víctimas que “pronto los medios de comunicación, sus socios y clientes SABRÁN acerca de su PROBLEMA … Si no se comunica con nosotros en los próximos 3 DÍAS, comenzaremos la publicación de DATOS”.
Al igual que Maze, Egregor utiliza los algoritmos de cifrado ChaCha y RSA para cifrar los archivos de las víctimas. También como Maze, se sospecha que Egregor es una operación de ransomware como servicio, que depende de afiliados que reciben un pago por lanzar el malware en las redes de las víctimas.
Pero el código de Egregor no es un derivado del malware utilizado por Maze, más bien es una variante de una familia de ransomware conocida como Sekhmet. Los operadores de Sekhmet comenzaron a publicar datos de las víctimas en marzo de 2020, pero su sitio web “Sekhmet Leaks” ya no es accesible, y solo seis víctimas fueron expuestas públicamente antes de que cayera la web, lo que coincidió con el lanzamiento del sitio Egregor. No está claro si los creadores de Egregor y Sekhmet son los mismos, pero el ransomware de Egregor se deriva claramente del malware Sekhmet.
Se detecto Egregor por primera vez en septiembre durante un ataque contra un cliente. Hasta el 25 de noviembre, han publicado detalles sobre más de 130 víctimas en su web de de la Dark Web. Las presuntas víctimas de estos ataques son diversas, tanto en términos de ubicación como de tipo de organización: incluyen escuelas, fabricantes, organizaciones de logística, instituciones financieras y empresas de tecnología. La banda de Egregor llamó específicamente a dos compañías de juegos, Crytek y Ubisoft, en un “comunicado de prensa” en octubre.
