Предполагается, что группа, стоящая за операциями с программами-вымогателями Maze и Egregor, заработала не менее 75 миллионов долларов в биткойнах от выкупа после взлома  компаний по всему миру.

«Мы считаем эту цифру неполной, и можем оценить только публично признанные выплаты выкупа. Многие жертвы никогда не сообщают публично, когда платят выкуп», - говорится в 58-страничном отчете, опубликованном на этой неделе компанией по кибербезопасности Analyst1 .

Выводы Analyst1 согласуются с аналогичным отчетом компании Chainalysis, занимающейся анализом блокчейнов, в которой группа Maze была названа третьей по прибыльности среди вымогателей после Ryuk и Doppelpaymer. В предыдущем отчете доход Ryuk оценивался  примерно в 150 миллионов долларов. Цифры Doppelpaymer отсутствуют.

Но такие высокие заработки не случайны. Группировка Maze - печально известное имя в кругах кибербезопасности. Группа начала свою деятельность в мае 2019 года, когда первые образцы вымогателя Maze были замечены в сети. Группа управляла так называемым RaaS (Ransomware-as-a-Service), позволяя другим участникам киберпреступлений арендовать доступ к их вирусу вымогателю. Эти клиенты, также называемые аффилированными лицами, взламывали компании и развертывали программы-вымогатели группировки Maze для шифрования файлов и требования выкупов. Но несмотря на то, что было множество групп вымогателей, работающих по аналогичным схемам RaaS, группа Maze сделала себе имя, создав «сайт утечек», где они часто перечисляли зараженные компании.

Идея заключалась в том, чтобы заставить жертв заплатить выкуп и удалить их имена с сайта. Если жертвы откажутся, операторы Maze начнут слив данных, которые они украли из сетей жертв. У жертв, которые восстанавливались из резервных копий и отказывались платить, данные публиковались десятками Гигабайт.

Однако по причинам, до сих пор неизвестным, группа переключила свои бэкэнд-операции осенью 2020 года, когда развернула новый RaaS для вируса-вымогателя Egregor.

Но, как в конце 2020 года обнаружили несколько компаний по кибербезопасности, программа-вымогатель Egregor содержала код, аналогичный старому варианту Maze, и группа продолжала использовать ту же тактику вымогательства, позволяя следователям формально связать эти две операции.

Также из-за схожести двух вирусов исследователи безопасности начали называть группу Maze + Egregor под названием Twisted Spider. Но это изменение бренда не повлияло на успех группировки. Фактически, и Maze, и Egregor заняли второе и третье место по активности RaaS-сервисов на рынке, составив почти четверть всех жертв, перечисленных на сайтах утечек в прошлом году.

Согласно отчету Analyst1, опубликованному на этой неделе, этот период повышенной активности привел к денежной прибыли, основанной на транзакциях, которые компания смогла отслеживать на публичных блокчейнах. 

Однако этот успех также привлек внимание правоохранительных органов, которые начали усиленно расследовать и отслеживать группировку. В настоящее время группа Maze / Egregor находится в перерыве, прекратив свою деятельность после того, как французские и украинские официальные лица арестовали трех их членов в середине февраля,  включая члена ее основной группы, сообщил высокопоставленный сотрудник французской полиции.

Помимо подробного изучения операций Twisted Spider, в отчете Analyst1 также рассматриваются другие группы вымогателей, которые действуют аналогично: взаимодействуют и помогают друг другу с единственной целью - увеличить свою прибыль любыми способами.