Французская радиостанция France Inter сообщила, что на прошлой неделе украинские и французские правоохранительные органы провели совместную операцию, результатом которой стал арест нескольких операторов вымогателя Egregor на территории Украины.
Имена и точное число задержанных пока не разглашаются. По данным France Inter, эти люди не были разработчиками Egregor, но занимались хакингом, а также оказывали материально-техническую и финансовую поддержку преступникам. Известно, что французские власти подключились к расследованию «европейских коллег» после того, как в прошлом году Egregor атаковал несколько крупных французских компаний, включая игровую студию Ubisoft и логистическую фирму Gefco.
Напомню, что этот вымогатель активен с осени 2020 года и работает по модели Ransomware-as-a-Service (RaaS, «шифровальщик-как-услуга»). То есть авторы малвари сдают ее в аренду другим преступникам, а те уже взламывают компании, крадут данные, шифруют файлы и потом требуют у жертв «двойной выкуп» (за расшифровку файлов, а также за нераскрытие украденных в процессе взлома данных).
Если жертвы платят выкуп, группировка, которая организовала взлом, оставляет себе большую часть средств, а разработчики Egregor получают лишь небольшую долю. Такие «прибыли» злоумышленники обычно отмывают через специальные миксер-сервисы для криптовалюты.
Сообщается, что арестованные на Украине люди были «аффилированными лицами» (партнерами) авторов Egregor и каким-то образом помогали поддерживать операции группировки.
Интересно, что эти аресты повлияли на деятельность Egregor в целом. Так, издание ZDNet, со ссылкой на аналитиков Recorded Future, сообщает, что «инфраструктура Egregor, включая их вымогательский сайт и C2-инфраструкутуру, не работает по меньшей мере с пятницы». Так разработчики Egregor обладают хорошими ресурсами, обычно они не отключают всю свою инфраструктуру одновременно.
Но по данным ID Ransomware, атаки Egregor пошли на спад еще в начале декабря 2020 года, и всё последнее время оставались на весьма низких отметках.
Также, по информации Bleeping Computer, в январе текущего года сайт преступников отключался примерно на две недели, а когда он снова заработал, с ним возникли проблемы. После этого многие заподозрили, что Egregor был взломан или скомпрометирован правоохранительными органами. Имеется ли здесь какая-то связь с недавними арестами «аффилированных лиц», покажет время.