Egregor работает по бизнес-модели «вымогательское ПО-как-услуга» (Ransomware-as-a-Service, RaaS), в рамках которой преступники сотрудничают с разработчиками программ-вымогателей для проведения атак и разделения выкупа. В таких партнерствах разработчики вредоносов несут ответственность за создание вредоносного ПО и работу сайта платежей. В то же время операторы несут ответственность за взлом сетей жертв и развертывание программ-вымогателей. В рамках этой договоренности разработчики зарабатывают от 20 до 30% от суммы выкупа, в то время как аффилированные лица получают остальные 70-80%.
Напомним, в октябре прошлого года вымогательская группировка Maze прекратила свою преступную деятельность, и партнеры Maze перешли на использование вымогательского ПО под названием Egregor. Предположительно, Egregor представляет собой то же программное обеспечение, что и Maze и Sekhmet, поскольку они используют одинаковые записки с требованиями о выкупе, одинаковые названия сайтов платежей и имеют большую часть одного и того же кода.
В январе сайт утечек данных Egregor был отключен примерно на две недели, а когда он снова заработал, возникли проблемы с сайтом. Это необычное действие заставило других злоумышленников заподозрить, что вымогательское ПО было взломано хакерами или правоохранительными органами.