12/04/21
Киберпреступная группировка, ответственная за операции программ-вымогателей Maze и Egregor, заработала на выкупах не менее $75 млн в биткойнах в результате атак на компании по всему миру.
«Мы считаем эту цифру гораздо более значительной, но можем оценить только публично признанные выплаты выкупа. Многие жертвы никогда не сообщают об этом», — сообщили специалисты ИБ-фирмы Analyst1.
Выводы экспертов Analyst1 совпадают с похожим отчетом компании Chainalysis, в котором Maze была названа третьей по прибыльности вымогательской группировкой после Ryuk и Doppelpaymer. Доход операторов Ryuk оценивается примерно в $150 млн, тогда как сведения о Doppelpaymer отсутствуют.
Высокие доходы Maze не случайны. Первые образцы вымогателя были обнаружены в мае 2019 года. Преступники действовали по бизнес-модели RaaS (Ransomware-as-a-Service), позволяя другим партнерам арендовать доступ к их вымогателю. Такие клиенты взламывали компании и использовали вымогательское ПО Maze для шифрования файлов и требования выкупов.
Хотя в то время было большое количество группировок, работающих в качестве RaaS-сервисов, Maze первая создала сайт утечек данных с перечислением пострадавших компаний. Идея заключалась в том, чтобы заставить жертв заплатить выкуп и удалить их имена с сайта. В случае отказа Maze начинала публиковать похищенные у организаций данные.
Однако по неизвестным причинам группировка прекратила свою деятельность осенью 2020 года, а многие филиалы Maze перешли к операторам нового вымогательского ПО под названием Egregor. Egregor начал работу в середине сентября, когда Maze прекратили свои операции. Предположительно, Egregor представляет собой то же программное обеспечение, что и Maze и Sekhmet, поскольку они используют одинаковые записки с требованиями о выкупе, одинаковые названия сайтов платежей и имеют большую часть одного и того же кода.
Также из-за совпадения двух сервисов исследователи безопасности начали называть объединение Maze и Egregor Twisted Spider.
Операторы Egregor прекратили свою деятельность после того, как совместная операция сотрудников правоохранительных органов Франции и Украины привела к аресту в Украине нескольких клиентов RaaS-сервиса Egregor. Полиция осуществила аресты после того, как французские власти смогли отследить выплаты выкупа лицам, находящимся в Украине.
