Злоумышленники были арестованы благодаря полиции Франции, отследившей платежи компаний-жертв вируса. Оказалось, что выкупы получали жители Украины. Арестованные подозреваются во взломе сетей различных компаний и заражении их инфраструктуры вирусом Egregor.
После ареста операторов вируса были отключены сайты группировки в даркнете, включая сайт для оплаты выкупа и сайт, на котором выкладывалась часть украденных данных. Также стал недоступен ресурс, на котором были выложены инструменты для дешифровки файлов компаний, уплативших выкуп.
Хакеры представляют доступ к вирусу Egregor как к сервису. Атаки осуществляют сторонние группы хакеров, а операторы Egregor получают комиссию за использование вируса – обычно она составляет 20-30% от выкупа. Однако с 9 декабря 2020 года хакеры значительно снизили количество атак с помощью вируса Egregor.
За 2020 год атаке вируса подверглись несколько французских компаний, включая Ubisoft, Quest France и Gefko. В начале декабря 2020 года вирусом-шифровальщиком Egregor были атакованы системы кадрового агентства Randstad, которое имеет филиалы в 38 странах и насчитывает более 38 000 сотрудников.
