- Сообщения
- 7.805
- Реакции
- 10.690
Egregor вошла в криминальный лексикон стремительно и почти без подготовки аудитории. Осенью 2020 года на фоне ухода Maze из публичного поля последствия оказались моментальными: десятки компаний из разных стран почти синхронно сообщили о сбоях, вымогательстве и угрозах публикации данных. Для наблюдателя со стороны это выглядело как внезапный всплеск одного названия. Для аналитика по безопасности было яснее и прозаичнее: перед нами не один монолитный «клан», а типичный для даркнета сервисный картель с франшизной моделью, где ядро разрабатывает инструменты, а к нему подключаются аффилиаты, принося уже готовые доступы и собственные тактики. Именно так и устроена Egregor как RaaS - ransomware as a service.
Откуда появилась Egregor и почему переместилась в центр внимания так быстро. Исследовательские отчеты конца 2020 года зафиксировали кодовые и операционные связи между Egregor, Sekhmet и наследием Maze, а также массовый переток аффилиатов. То, что для СМИ выглядело как «новый монстр», в действительности было продолжением бизнес-процессов на сером рынке: группа меняет вывеску и инфраструктуру, а цепочки поставки доступа и навыки операторов остаются. Этот эффект непрерывности хорошо заметен по темпам операций: пик приходится на короткий отрезок конца 2020 года, когда у Egregor успели появиться страницы шантажа, выложенные наборы украденных документов и собственная репутация «наследника» ярко звучавших практик двойного вымогательства.
В начале 2020-х окончательно стабилизировалась схема двойного шантажа: сначала кража данных, затем шифрование, затем давление угрозой публикации. Egregor взяла эту схему как стандарт и довела до производственной дисциплины. Диапазон тактик включал фишинговые входы с загрузчиками типа QakBot и IcedID, проникновение через RDP и слабые учетные данные, быстрый переход к инструментам для горизонтального перемещения, сбор и упаковку данных с помощью утилит уровня Rclone, компрессию архивов и подготовку к утечке. Судя по открытым кейсам форензики, на ранних стадиях часто применялись готовые бандлы инструментов постэксплуатации и бенчмарковые средства вроде Cobalt Strike. В качестве психологического давления Egregor стала едва ли не самым цитируемым примером «бомбардировки принтерами»: использование штатных функций печати на компрометированных узлах для массовой печати записок с требованиями выкупа. Этот прием, одновременно демонстративный и шумный, решает сразу две задачи - нарушает операционные процессы и канализирует внимание ИТ-службы в нужную группе переговорщиков.
Публичный след Egregor хорошо виден там, где компании сами подтверждали инциденты или его фиксировали региональные СМИ и регуляторы. В транспортных системах Канады в декабре 2020 года принтеры городской службы начали печатать тексты с требованиями - по факту это стало одним из самых разоблачающих эпизодов, потому что показало уверенность операторов в глубине проникновения и их ориентацию на демонстративный шум. В Латинской Америке тот же прием с печатью был замечен у крупного ретейлера: шантаж сопровождался массовыми принтами с инструкциями, что вынудило остановку процессов в магазинах. В HR-секторе громко прозвучало проникновение в глобальную кадровую компанию с публикацией внутренних документов, а вокруг геймдева ходили регулярные утечки про Ubisoft и Crytek - Egregor на своей площадке выкладывала утвержденные «доказательства доступа» и угрожала публикацией массивов. В рознице шумно проходил инцидент у одной из крупнейших книжных сетей США: клиенты жаловались на сбои экосистемы чтения, а источники в инфобез-сообществе связывали случившееся с активностью Egregor. Для самой банды важна была не отрасль, а эффект от простоя: чем чувствительнее к остановке бизнес, тем выше шанс на переговоры и платеж. Для Egregor характерна зрелая франшизная экономика: ядро предоставляет бандл шифровальщика, инфраструктуру утечек, коммуникационные скрипты и иногда инструментарий постэксплуатации, а аффилиаты берут на себя стартовую фазу проникновения, выбор целей и выведение денег. Рынок тут многослойный: часть аффилиатов приносит уже скомпрометированные сети из прежних программ Maze, часть покупает доступы у брокеров, специализирующихся на RDP и VPN, часть опирается на собственную рассылку малвари. Эта модель объясняет феномен «короткого, но громкого» жизненного цикла: при удачном наборе аффилиатов группа быстро набирает скорость, достигает потолка видимости и столь же быстро попадает в фокус координированных расследований. Так случилось и здесь: уже к январю - февралю 2021 года несколько европейских и украинских структур заявили о целевых задержаниях фигурантов, связанных с инфраструктурой и аффилиатской сетью.
В выборке инцидентов у Egregor встречались примечательные детали исполнения. Во-первых, связка с QakBot и иными загрузчиками делала кампании более устойчивыми: даже при блокировании одного канала атакующие могли переложить доставки на соседний ботнет. Во-вторых, применялись утилиты для бесшумной выгрузки данных на внешние хранилища с обфускацией и переименованием исполняемых файлов под штатные процессы Windows - классический прием, затрудняющий быструю реакцию SOC. В-третьих, сама программа шифрования отмечалась привязкой к имени жертвы в именовании зашифрованных файлов и типовым добавлением заметок в каждый каталог. Для переговоров использовались страницы на утечечном сайте Egregor News и индивидуальные чаты, а сам выкуп традиционно назначался в криптовалюте. По оценкам на конец 2020 - начало 2021 годов требования доходили до миллионов долларов за компанию, что соответствовало рыночной логике «big game hunting» и отражало готовность аффилиатов работать с более крупными целями. Egregor активно поддерживала витрину в виде новостной ленты утечек и набора поддоменов под диалог с жертвами. Эта публичная сторона была ключевой в давлении и репутации: чем регулярнее обновления, тем заметнее бренд в даркнете и тем сильнее стимул для компаний платить, чтобы не оказаться в списке. Одновременно именно публичность ускоряет ответ правоохранителей и компаний по безопасности: когда одно имя появляется слишком часто и сопровождается узнаваемыми приемами, растет вероятность межведомственной координации и совместных операций. На практике так и произошло: заявления аналитиков о «наследовании» тактик от Maze, отчетность о переходе аффилиатов и череда громких инцидентов создали фон для заинтересованности регуляторов и профильных агентств.
В феврале 2021 года профильные издания и исследователи сообщили о совместных действиях французских и украинских органов - были задержаны фигуранты, связанные с операциями Egregor, в том числе из аффилиатского круга. Через короткое время активность инфраструктуры заметно снизилась: публикации на площадках замерли, след в телеметрии ослаб. В аналитических сводках эта фаза описывалась как «снятие оперативного темпа». Для индустрии это послужило еще одним подтверждением тезиса о чувствительности RaaS к целевому давлению на цепочку аффилиатов и специалистов по обналичиванию. Само ядро при этом зачастую ускользает, но разрушение обвязки делает бренд токсичным и снижает экономику.
В 2022 году в публичном поле появились мастер-ключи для расшифровки семейств Maze, Egregor и Sekhmet - это событие широко обсуждалось исследователями и сопровождалось выпуском открытых декрипторов. Для форензики это ценно как индикатор смены поколений в экосистеме шифровальщиков: старые линии сворачиваются, аффилиаты мигрируют в новые программы, оборудование и ключи уходят в архив. Но на уровне рисков для бизнеса картина остается прежней: модель двойного шантажа никуда не делась, а приемы проникновения и вымогательства в целом стандартизировались и продолжают переиспользоваться другими группами. Egregor здесь важна как образцовый кейс короткого жизненного цикла яркого бренда и как учебник по операционной стороне RaaS. У нас есть все признаки организованной преступной группы: распределение ролей, внутренняя экономика, регламенты, репутационный капитал, собственная медиа-витрина, сеть поставщиков доступа и аутсорсинг на аффилиатов. В бухгалтерской логике даркнета это вертикально интегрированная компания с гибкой сетью франчайзи. Она жизнеспособна до тех пор, пока сохраняется баланс между быстрыми деньгами и риском быть распознанной, локализованной и выбитой точечными ударами правоохранителей. В случае Egregor этот баланс был нарушен очень быстро - сработали публичность, узнаваемая техника давления и плотное документирование инцидентов, которое упростило координацию расследований.
Исследование Egregor особенно полезно тем, что показывает ценность ранней корреляции признаков между инцидентами: одинаковые заметки, схожая телеметрия загрузчиков, переиспользуемые утилиты для эксфильтрации, нетипичные приемы вроде массовой печати. Когда такие элементы собираются быстрее, повышается шанс предупредить крупный ущерб или вовремя перевести инцидент в публичную плоскость. Для компаний это означает необходимость зрелого процесса XDR, охватывающего e-mail, конечные точки и сеть, а также готовых процедур взаимодействия с правоохранителями. Для расследователей - важность картирования аффилиатских цепочек и поставщиков доступа: именно через них RaaS уязвим к точечным арестам и заморозке криптоактивов. Для медиа - осторожность в языке: лучше говорить о конкретных техниках и инфраструктуре, чем создавать мифы о «неуловимых монстрах».
Материал носит аналитический и информационный характер, не содержит инструкций по совершению противоправных действий и не заменяет консультацию специалистов по безопасности. При инциденте следуйте внутренним протоколам реагирования и обращайтесь в компетентные органы вашего региона. Эта статья была создана с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Откуда появилась Egregor и почему переместилась в центр внимания так быстро. Исследовательские отчеты конца 2020 года зафиксировали кодовые и операционные связи между Egregor, Sekhmet и наследием Maze, а также массовый переток аффилиатов. То, что для СМИ выглядело как «новый монстр», в действительности было продолжением бизнес-процессов на сером рынке: группа меняет вывеску и инфраструктуру, а цепочки поставки доступа и навыки операторов остаются. Этот эффект непрерывности хорошо заметен по темпам операций: пик приходится на короткий отрезок конца 2020 года, когда у Egregor успели появиться страницы шантажа, выложенные наборы украденных документов и собственная репутация «наследника» ярко звучавших практик двойного вымогательства.
В начале 2020-х окончательно стабилизировалась схема двойного шантажа: сначала кража данных, затем шифрование, затем давление угрозой публикации. Egregor взяла эту схему как стандарт и довела до производственной дисциплины. Диапазон тактик включал фишинговые входы с загрузчиками типа QakBot и IcedID, проникновение через RDP и слабые учетные данные, быстрый переход к инструментам для горизонтального перемещения, сбор и упаковку данных с помощью утилит уровня Rclone, компрессию архивов и подготовку к утечке. Судя по открытым кейсам форензики, на ранних стадиях часто применялись готовые бандлы инструментов постэксплуатации и бенчмарковые средства вроде Cobalt Strike. В качестве психологического давления Egregor стала едва ли не самым цитируемым примером «бомбардировки принтерами»: использование штатных функций печати на компрометированных узлах для массовой печати записок с требованиями выкупа. Этот прием, одновременно демонстративный и шумный, решает сразу две задачи - нарушает операционные процессы и канализирует внимание ИТ-службы в нужную группе переговорщиков.
Публичный след Egregor хорошо виден там, где компании сами подтверждали инциденты или его фиксировали региональные СМИ и регуляторы. В транспортных системах Канады в декабре 2020 года принтеры городской службы начали печатать тексты с требованиями - по факту это стало одним из самых разоблачающих эпизодов, потому что показало уверенность операторов в глубине проникновения и их ориентацию на демонстративный шум. В Латинской Америке тот же прием с печатью был замечен у крупного ретейлера: шантаж сопровождался массовыми принтами с инструкциями, что вынудило остановку процессов в магазинах. В HR-секторе громко прозвучало проникновение в глобальную кадровую компанию с публикацией внутренних документов, а вокруг геймдева ходили регулярные утечки про Ubisoft и Crytek - Egregor на своей площадке выкладывала утвержденные «доказательства доступа» и угрожала публикацией массивов. В рознице шумно проходил инцидент у одной из крупнейших книжных сетей США: клиенты жаловались на сбои экосистемы чтения, а источники в инфобез-сообществе связывали случившееся с активностью Egregor. Для самой банды важна была не отрасль, а эффект от простоя: чем чувствительнее к остановке бизнес, тем выше шанс на переговоры и платеж. Для Egregor характерна зрелая франшизная экономика: ядро предоставляет бандл шифровальщика, инфраструктуру утечек, коммуникационные скрипты и иногда инструментарий постэксплуатации, а аффилиаты берут на себя стартовую фазу проникновения, выбор целей и выведение денег. Рынок тут многослойный: часть аффилиатов приносит уже скомпрометированные сети из прежних программ Maze, часть покупает доступы у брокеров, специализирующихся на RDP и VPN, часть опирается на собственную рассылку малвари. Эта модель объясняет феномен «короткого, но громкого» жизненного цикла: при удачном наборе аффилиатов группа быстро набирает скорость, достигает потолка видимости и столь же быстро попадает в фокус координированных расследований. Так случилось и здесь: уже к январю - февралю 2021 года несколько европейских и украинских структур заявили о целевых задержаниях фигурантов, связанных с инфраструктурой и аффилиатской сетью.
В выборке инцидентов у Egregor встречались примечательные детали исполнения. Во-первых, связка с QakBot и иными загрузчиками делала кампании более устойчивыми: даже при блокировании одного канала атакующие могли переложить доставки на соседний ботнет. Во-вторых, применялись утилиты для бесшумной выгрузки данных на внешние хранилища с обфускацией и переименованием исполняемых файлов под штатные процессы Windows - классический прием, затрудняющий быструю реакцию SOC. В-третьих, сама программа шифрования отмечалась привязкой к имени жертвы в именовании зашифрованных файлов и типовым добавлением заметок в каждый каталог. Для переговоров использовались страницы на утечечном сайте Egregor News и индивидуальные чаты, а сам выкуп традиционно назначался в криптовалюте. По оценкам на конец 2020 - начало 2021 годов требования доходили до миллионов долларов за компанию, что соответствовало рыночной логике «big game hunting» и отражало готовность аффилиатов работать с более крупными целями. Egregor активно поддерживала витрину в виде новостной ленты утечек и набора поддоменов под диалог с жертвами. Эта публичная сторона была ключевой в давлении и репутации: чем регулярнее обновления, тем заметнее бренд в даркнете и тем сильнее стимул для компаний платить, чтобы не оказаться в списке. Одновременно именно публичность ускоряет ответ правоохранителей и компаний по безопасности: когда одно имя появляется слишком часто и сопровождается узнаваемыми приемами, растет вероятность межведомственной координации и совместных операций. На практике так и произошло: заявления аналитиков о «наследовании» тактик от Maze, отчетность о переходе аффилиатов и череда громких инцидентов создали фон для заинтересованности регуляторов и профильных агентств.
В феврале 2021 года профильные издания и исследователи сообщили о совместных действиях французских и украинских органов - были задержаны фигуранты, связанные с операциями Egregor, в том числе из аффилиатского круга. Через короткое время активность инфраструктуры заметно снизилась: публикации на площадках замерли, след в телеметрии ослаб. В аналитических сводках эта фаза описывалась как «снятие оперативного темпа». Для индустрии это послужило еще одним подтверждением тезиса о чувствительности RaaS к целевому давлению на цепочку аффилиатов и специалистов по обналичиванию. Само ядро при этом зачастую ускользает, но разрушение обвязки делает бренд токсичным и снижает экономику.
В 2022 году в публичном поле появились мастер-ключи для расшифровки семейств Maze, Egregor и Sekhmet - это событие широко обсуждалось исследователями и сопровождалось выпуском открытых декрипторов. Для форензики это ценно как индикатор смены поколений в экосистеме шифровальщиков: старые линии сворачиваются, аффилиаты мигрируют в новые программы, оборудование и ключи уходят в архив. Но на уровне рисков для бизнеса картина остается прежней: модель двойного шантажа никуда не делась, а приемы проникновения и вымогательства в целом стандартизировались и продолжают переиспользоваться другими группами. Egregor здесь важна как образцовый кейс короткого жизненного цикла яркого бренда и как учебник по операционной стороне RaaS. У нас есть все признаки организованной преступной группы: распределение ролей, внутренняя экономика, регламенты, репутационный капитал, собственная медиа-витрина, сеть поставщиков доступа и аутсорсинг на аффилиатов. В бухгалтерской логике даркнета это вертикально интегрированная компания с гибкой сетью франчайзи. Она жизнеспособна до тех пор, пока сохраняется баланс между быстрыми деньгами и риском быть распознанной, локализованной и выбитой точечными ударами правоохранителей. В случае Egregor этот баланс был нарушен очень быстро - сработали публичность, узнаваемая техника давления и плотное документирование инцидентов, которое упростило координацию расследований.
Исследование Egregor особенно полезно тем, что показывает ценность ранней корреляции признаков между инцидентами: одинаковые заметки, схожая телеметрия загрузчиков, переиспользуемые утилиты для эксфильтрации, нетипичные приемы вроде массовой печати. Когда такие элементы собираются быстрее, повышается шанс предупредить крупный ущерб или вовремя перевести инцидент в публичную плоскость. Для компаний это означает необходимость зрелого процесса XDR, охватывающего e-mail, конечные точки и сеть, а также готовых процедур взаимодействия с правоохранителями. Для расследователей - важность картирования аффилиатских цепочек и поставщиков доступа: именно через них RaaS уязвим к точечным арестам и заморозке криптоактивов. Для медиа - осторожность в языке: лучше говорить о конкретных техниках и инфраструктуре, чем создавать мифы о «неуловимых монстрах».
FBI IC3 PIN 210108: Egregor ransomware - краткий обзор и печать записок, январь 2021
CISA summary: Egregor ransomware - сводка по тактикам и печати заметок
ANSSI, CERT-FR: EGREGOR RANSOMWARE - обзор атак и масштабы, март 2021
MITRE ATT&CK S0554: Egregor - кодовые связи с Sekhmet и Maze, обновлено 2025
Recorded Future Insikt Group: Egregor shows connections to QakBot, декабрь 2020
Group-IB: Ransomware Uncovered 2020/2021 и материалы по Egregor - тактики и наследие Maze
Palo Alto Networks Unit 42: Threat Assessment - Egregor, декабрь 2020
Sophos: Egregor ransomware - Maze's heir apparent, декабрь 2020
Trend Micro: High-profile attacks and смена аффилиатов, декабрь 2020
Intel 471: Egregor operation takes huge hit after police raids, февраль 2021
Malwarebytes: Arrests related to Egregor, февраль 2021
Computer Weekly: Egregor arrests confirmed, февраль 2021
CyberScoop: Randstad breached and data published, декабрь 2020
Tripwire: TransLink атака и печать записок, декабрь 2020
Bitdefender HotForSecurity: Cencosud и печать записок, ноябрь 2020
Cyware: Утечки, связанные с Ubisoft и Crytek, 2020
PwC: Cyber Threats 2021 - признаки TTP и использование Rclone
Heimdal Security: Egregor ransomware profile и ключи расшифровки Maze, Egregor, Sekhmet, 2022
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
CISA summary: Egregor ransomware - сводка по тактикам и печати заметок
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
ANSSI, CERT-FR: EGREGOR RANSOMWARE - обзор атак и масштабы, март 2021
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
MITRE ATT&CK S0554: Egregor - кодовые связи с Sekhmet и Maze, обновлено 2025
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Recorded Future Insikt Group: Egregor shows connections to QakBot, декабрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Group-IB: Ransomware Uncovered 2020/2021 и материалы по Egregor - тактики и наследие Maze
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Palo Alto Networks Unit 42: Threat Assessment - Egregor, декабрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Sophos: Egregor ransomware - Maze's heir apparent, декабрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Trend Micro: High-profile attacks and смена аффилиатов, декабрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Intel 471: Egregor operation takes huge hit after police raids, февраль 2021
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Malwarebytes: Arrests related to Egregor, февраль 2021
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Computer Weekly: Egregor arrests confirmed, февраль 2021
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
CyberScoop: Randstad breached and data published, декабрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Tripwire: TransLink атака и печать записок, декабрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Bitdefender HotForSecurity: Cencosud и печать записок, ноябрь 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Cyware: Утечки, связанные с Ubisoft и Crytek, 2020
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
PwC: Cyber Threats 2021 - признаки TTP и использование Rclone
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Heimdal Security: Egregor ransomware profile и ключи расшифровки Maze, Egregor, Sekhmet, 2022
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Материал носит аналитический и информационный характер, не содержит инструкций по совершению противоправных действий и не заменяет консультацию специалистов по безопасности. При инциденте следуйте внутренним протоколам реагирования и обращайтесь в компетентные органы вашего региона. Эта статья была создана с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
