Кто на самом деле стоит за группировкой Groove?

Западные СМИ и ИБ-компании, похоже, начинают постепенно осознавать, что нашумевшая "кибервымогательская группировка" под названием Groove, угрожавшая разрушительными атаками госсектору США, оказалась не более чем "разводом".

Как ранее сообщал SecurityLab, за названием Groove скрывался всего лишь один человек, и никакой группировки на самом деле не существовало. Весь проект был задуман им специально с целью троллинга западных СМИ. Человек признался на киберпреступном форуме XSS, что планировал написать статью на тему "Манипуляция СМИ через рансом блог", для чего и придумал Groove.

Ниже представлена краткая история проекта, который, со слов его автора, оказался более чем успешным.

Впервые о появлении Groove было объявлено 22 августа 2021 года на русскоязычном киберпреступном форуме RAMP. В то время его администратор, некто Orange, охарактеризовал новоявленную угрозу как "агрессивную, финансово мотивированную преступную организацию, в течение двух лет занимающуюся промышленным шпионажем".

Как сообщали специалисты ИБ-компании McAfee, RAMP является результатом раскола известной кибервымогательской группировки Babuk. В сентябре пользователь Groove (по мнению экспертов ИБ-компании Intel471, Groove и Orange - это одно лицо) опубликовал на форуме порядка 500 тыс. учетных данных пользователей Fortinet VPN. По мнению некоторых экспертов, целью публикации было привлечь в Groove новых партнеров, но больше похоже на то, что автор публикации на самом деле стремился привлечь внимание ИБ-исследователей и журналистов.

На прошлой неделе блог Groove был удален. Некто под псевдонимом Boriselcin опубликовал на XSS заявление, что Groove был придуман специально для троллинга СМИ.

"Для тех, кто не понял, что происходит: я создал фейковую Groove Gang и назвал себя группировкой. Они проглотили это, я опубликовал 500 тыс. никому не нужных старых учетных данных Fortinet VPN, и они проглотили это. Я сказал, что собираюсь атаковать госсектор США, и они проглотили это. Только немногие журналисты поняли, что все это просто шоу, фейк, развод! Мое уважение тем, кто это понял. Я даже не знаю, что теперь делать с этим блогом с тоннами трафика. Может, продать? Теперь мне просто нужно начать писать статью, но я не могу начать, сначала все не проверив", - заявил Boriselcin.

Судя по последним публикациям Boriselcin, он готовил свой проект несколько месяцев. 13 сентября он сообщал о "назревании нескольких тем", в частности о запланированной статье на тему троллинга СМИ и исследователей безопасности.

"Так смешно читать Twitter в последнее время. Но пока что результаты прекрасные", - писал Boriselcin.

Однако заявлениям Boriselcin верят не все ИБ-эксперты, пишет журналист Брайан Кребс. Так, по мнению специалистов Intel471, на самом деле у него действительно было желание создать собственную вымогательскую группировку, но осуществить задуманное не получилось.