Организаторы атак с использованием вымогательского ПО Egregor задержаны на Украине
#кибератака #кибервымогательство
Организаторы атак с использованием вымогательского ПО Egregor задержаны на Украине

Правоохранительные органы Франции и Украины провели совместную операцию, в ходе которой на территории Украины были арестованы несколько человек, подозреваемых в организации кибератак с использованием вымогательского ПО Egregor. Официальных объявлений по этому поводу пока не последовало, однако французская радиостанция France Inter, ссылаясь на свои источники в правоохранительных структурах, утверждает, что расследование было начато в прошлом году, после нескольких атак Egregor на крупные французские компании, включая Ubisoft и Gefco. Экспертам удалось отследить платежи, получаемые хакерами в качестве выкупа. След привел на Украину, что и положило начало сотрудничеству двух стран, завершившемуся успешной полицейской операцией.

Egregor является одним из самых популярных и опасных видов вымогательского ПО. Впервые зловред заявил о себе в сентябре прошлого года – практически одновременно с прекращением деятельности группировки, стоявшей за атаками другого опаснейшего кибервымогателя, Maze. Собственно, многие эксперты полагают, что ядро группы, управляющей Egregor, и составляют экс-участники Maze. К настоящему времени на сайте, где операторы Egregor выкладывают названия компаний, подвергшихся ее атакам, указаны более 200 жертв, средняя сумма выкупа, требуемая вымогателями, составляет, по данным исследователей Recorded Future, порядка 700 тысяч долларов.

Операторы Egregor действуют по модели Ransomware-as-a-Service (RaaS), предоставляя зловред «в аренду» другим хакерам, которые сами находят жертв и способы проникновения в их системы. По информации France Inter, арестованные на Украине злоумышленники являются именно «арендаторами», а не непосредственными операторами вымогательского ПО. Тем не менее, операция, похоже, нанесла ощутимый удар по Egreror. Компания Recorded Future сообщает, что заметная часть инфраструктуры вымогательской группировки, включая сайт, где публикуются похищенные данные, и ряд командных серверов, остается неактивной с минувшей пятницы. Для группировки, обладающей такими серьезными ресурсами как Egregor, подобный «простой» весьма нетипичен.