Паника среди вымогателей: RansomHub исчез, партнёры в панике, конкуренты ликуют — тёмный передел в прямом эфире

Внезапное исчезновение онлайн-инфраструктуры одной из самых активных группировок вымогателей RansomHub всколыхнуло теневой рынок. С 1 апреля 2025 года ресурсы группировки оказались недоступны без каких-либо объяснений, что вызвало волну обеспокоенности среди её партнёров и подтолкнуло некоторых из них на переход к конкурентам. По данным компании Group-IB, с февраля на платформе утечек Qilin наблюдается резкий рост активности, что может свидетельствовать о миграции бывших участников RansomHub.

RansomHub появилась в феврале 2024 года и стремительно вышла на лидирующие позиции, заполнив вакуум после блокировок LockBit и BlackCat. Её привлекательность заключалась в гибкой финансовой модели и мультиплатформенном шифраторе, который был разработан на основе кода проекта Knight (ранее Cyclops). Шифратор работал на Windows, Linux, FreeBSD, ESXi и поддерживал архитектуры x86, x64 и ARM. Инструмент обходил организации в странах СНГ, а также на Кубе, в КНДР и Китае, и мог зашифровывать как локальные, так и сетевые файловые системы через SMB и SFTP.

Панель управления RansomHub предоставляла широкие возможности для партнёров — от настройки до создания отдельных учётных записей. В 2024 году участникам также предоставлялся модуль «Killer» для отключения защитных программ с помощью уязвимых драйверов, однако его использование прекратилось из-за высокой детектируемости. Дополнительно, атаки группы были связаны с вредоносным JavaScript SocGholish, распространявшимся через взломанные сайты на WordPress и доставлявшим Python-бэкдор.

В ноябре участникам группы было официально запрещено атаковать государственные учреждения, что объяснялось высоким уровнем риска и малой выгодой. Несмотря на такие попытки удержать дисциплину, проблемы с инфраструктурой вызвали серьёзные волнения среди партнёров. По данным GuidePoint Security, на теневом форуме RAMP появилось заявление DragonForce о переходе RansomHub на их платформу в рамках создания нового объединения — DragonForce Ransomware Cartel.

Схожие изменения наблюдались и у других игроков. BlackLock, чью платформу ранее атаковали DragonForce, теперь сотрудничает с ними. Secureworks CTU указывает, что DragonForce предлагает новый подход — инфраструктуру и инструменты без навязывания собственного вредоносного ПО, давая возможность партнёрам запускать собственные «бренды».

Наряду с этим, наблюдается активизация новых группировок. Anubis, появившаяся в феврале 2025 года, отказывается от шифрования и шантажирует публикацией «расследований» с анализом украденных данных. Вариант ELENOR-corp, основанный на Mimic, специализируется на атаке на медицинские учреждения, используя Python-утилиту для кражи данных из буфера обмена, сложную маскировку и изменение системных политик восстановления.

К числу новых угроз относятся и CrazyHunter, использующая открытый инструмент ZammoCide для обхода защиты, и Elysium — обновлённый вариант Ghost, отключающий службы и резервные копии. FOG распространяет вредоносные ZIP-архивы, прикрываясь именами правительственных структур США. Hellcat проникает в сети через неизвестные уязвимости в Atlassian Jira. Hunters International перешла на новую модель World Leaks с акцентом на утечки данных. Interlock применяет многоступенчатую схему с загрузкой бэкдоров и вредоносных программ. Qilin же атакует через фишинг с подменой уведомлений ScreenConnect, направляя удары по клиентам MSP.

Даже после удара по таким гигантам, как LockBit, киберпреступный ландшафт не теряет активности, а лишь перестраивается — в сторону гибкости, раздробленности и новых моделей взаимодействия. Группы вымогателей продолжают подстраиваться под внешние условия, включая действия правоохранительных органов, что демонстрирует стойкость угроз и необходимость постоянной адаптации защитных стратегий.