Журналы чатов пролили свет на то, как в Egregor вели переговоры с жертвами

В распоряжении специалистов компании IBM Security X-Force и ее партнерской компании Cylera оказалось более 100 страниц стенограмм переговоров вымогательской группировки Egregor. Журналы чатов проливают свет на то, как жертвы пытались договориться с преступниками и уменьшить сумму выкупа, требуемую для расшифровки их систем.

В ходе серии переговоров вымогатели обращались со своими жертвами то с удивительной вежливостью, то вели себя как злодеи из мультипликационных фильмов.

«Команда Эгрегора желает вам счастливого Рождества и счастливого Нового года. Желаем мудрости в принятии решений и финансовой стабильности в это непростое для всех нас время. Счастливых праздников!», — сообщали вымогатели пострадавшей компании.

В ходе другой беседы они не проявили такой доброжелательности, угрожая утечкой данных жертвы и публикацией их на web-сайте в качестве предупреждения прочим организациям, которые могут попасть в поле зрения группы.

«Нам просто нужно определить, в какую категорию вы должны быть отнесены. В категорию тех, кто готов вести переговоры и платить, или в категорию пугал на нашем сайте. Для нас не так важно, в какой роли вы будете нам служить», — угрожали преступники.

Как полагают специалисты, в стенограммах чатов фигурирует основная команда Egregor, которая, как правило, вела переговоры от имени партнеров. Жертвы обращаются через чат-портал web-сайта после получения записки с требованием выкупа.

«Я просто служба поддержки. У нас есть финансовый отдел, менеджер по связям с общественностью, менеджер данных, хакеры, разработчик средств дешифрования и так далее», — отвечали сотрудники службы поддержки на ломаном английском.

Другие упомянутые роли включали менеджера по публикациям и IT-специалиста.

В одном случае участник Egregor дал жертве представление о том, как они определили первоначальную сумму требуемого выкупа. По словам преступников, группировка требовала выкуп в 5% - 10% от размера потенциальных убытков компании, связанных с утечкой данных.

Иногда служба поддержки стремилась продемонстрировать сочувствие. Узнав, что одной из жертв была благотворительная организация, сотрудники службы поддержки чата предложили бесплатно расшифровать ее системы в обмен на распространение информации о «великодушии» группировки.

Представители пострадавших компаний часто пытались выиграть больше времени для сбора средств, преуменьшали важность зашифрованных данных или ссылались на бедность организации. Если жертвы заявляла, что не может позволить себе требуемую сумму, переговорщики Egregor запрашивали налоговые отчеты.

По данным IBM, средняя требуемая сумма выкупа составляла более $5 млн, а средняя выплата — $387,7 тыс.