请注意，Egregor是在2020年第四季度(具体来说是9月中旬)之前才开始活跃的，即在Maze病毒变得不活跃之后不久。因此一些网络安全研究人员认为这是Maze和Egregor在某些方面存在联系的证据。11月初，Maze的运营商在其网站上发布了一份公告，称由于活动放缓，该机构已停止运营。不久之后，它的大多数机构都迁移到了Egregor，导致一些人认为Maze经营者只是简单的将Maze更名为Egregor，并指示机构加入。这是相对常见的勒索软件，虽然它也可能是子机构为自己决定的Egregor是他们的最佳选择。甚至有可能是Maze分支机构对Maze经营者感到不满，导致了分裂。然而，正如Bleeping Computer所指出的，Maze和Egregor共享了许多相同的代码，相同的勒索信的内容，并且拥有非常相似的受害者支付网站。网络安全机构Recorded Future也注意到了这一点，而且Egregor和一个名为QakBot的银行木马也有相似之处。

也不仅仅是Egregor，在另一个攻击事件中，Bleeping Computer声称Suncrypt的代表联系了他们，声称在Maze宣布关闭之前，他们属于“Maze勒索软件卡特尔”的一部分，尽管Maze否认了这一点。然而，威胁情报机构下传播的一份报告也支持了这种说法。该报告称，SunCrypt的代表将他们的变种描述为“一个知名勒索病毒变种的重写和重新命名版本”。Intel471的报告还称，SunCrypt一次只与少数几个子机构合作，SunCrypt运营商对这些子机构进行了广泛的采访和审查。因此，研究人员认为，SunCrypt和其他勒索软件之间的任何分支重叠，更有可能表明这两个病毒之间有更深层次的联系，而不仅仅是巧合。

区块链分析表明在Maze、Egregor、SunCrypt和Doppelpaymer之间存在各种重叠和其他可能的联系。

正如研究人员所述，有间接证据表明这四种病毒之间的联系，以及相关衍生产品的报告。但是我们在区块链上看到了什么链接呢?让我们从Maze和SunCrypt开始。