Операторы вымогателей Maze и Egregor заработали около $75 млн

Операторы вымогателей Maze и Egregor заработали около $75 млн

Maze и Egregor заняли второе и третье место по активности RaaS-сервисов на рынке, указав на своих сайтах утечек данных около четверти всех жертв вымогателей.

image

Киберпреступная группировка, ответственная за операции программ-вымогателей Maze и Egregor, заработала на выкупах не менее $75 млн в биткойнах в результате атак на компании по всему миру.

«Мы считаем эту цифру гораздо более значительной, но можем оценить только публично признанные выплаты выкупа. Многие жертвы никогда не сообщают об этом», — сообщили специалисты ИБ-фирмы Analyst1.

Выводы экспертов Analyst1 совпадают с похожим отчетом компании Chainalysis, в котором Maze была названа третьей по прибыльности вымогательской группировкой после Ryuk и Doppelpaymer. Доход операторов Ryuk оценивается примерно в $150 млн, тогда как сведения о Doppelpaymer отсутствуют.

Высокие доходы Maze не случайны. Первые образцы вымогателя были обнаружены в мае 2019 года. Преступники действовали по бизнес-модели RaaS (Ransomware-as-a-Service), позволяя другим партнерам арендовать доступ к их вымогателю. Такие клиенты взламывали компании и использовали вымогательское ПО Maze для шифрования файлов и требования выкупов.

Хотя в то время было большое количество группировок, работающих в качестве RaaS-сервисов, Maze первая создала сайт утечек данных с перечислением пострадавших компаний. Идея заключалась в том, чтобы заставить жертв заплатить выкуп и удалить их имена с сайта. В случае отказа Maze начинала публиковать похищенные у организаций данные.

Однако по неизвестным причинам группировка прекратила свою деятельность осенью 2020 года, а многие филиалы Maze перешли к операторам нового вымогательского ПО под названием Egregor. Egregor начал работу в середине сентября, когда Maze прекратили свои операции. Предположительно, Egregor представляет собой то же программное обеспечение, что и Maze и Sekhmet, поскольку они используют одинаковые записки с требованиями о выкупе, одинаковые названия сайтов платежей и имеют большую часть одного и того же кода.

Также из-за совпадения двух сервисов исследователи безопасности начали называть объединение Maze и Egregor Twisted Spider.

Операторы Egregor прекратили свою деятельность после того, как совместная операция сотрудников правоохранительных органов Франции и Украины привела к аресту в Украине нескольких клиентов RaaS-сервиса Egregor. Полиция осуществила аресты после того, как французские власти смогли отследить выплаты выкупа лицам, находящимся в Украине.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.