Злоумышленники были арестованы благодаря полиции Франции, отследившей платежи компаний-жертв вируса. Оказалось, что выкупы получали жители Украины. Арестованные подозреваются во взломе сетей различных компаний и заражении их инфраструктуры вирусом Egregor.
После ареста операторов вируса были отключены сайты группировки в даркнете, включая сайт для оплаты выкупа и сайт, на котором выкладывалась часть похищенных данных. Вместе с этим стал недоступен ресурс, на котором выложены инструменты для дешифровки файлов компаний, которые уплатили выкуп.
Злоумышленники предоставляют доступ к вирусу Egregor как к сервису. Атаки осуществляют сторонние группы хакеров, а операторы Egregor получают комиссию за использование вредоносного ПО. Обычно она составляла 20-30% от выкупа.