3 банды вымогателей объединились в "корпорацию зла" — делят код, базы данных и электростанции

Три известные группировки вымогателей — DragonForce, Qilin и LockBit — объявили о создании альянса. По сути это попытка координировать действия нескольких крупных операторов RaaS (ransomware-as-a-service, «вымогательство как услуга»), и аналитики предупреждают, что такая консолидация может усилить масштаб и эффективность атак.

Инициатором объединения выступила DragonForce. В начале сентября, почти одновременно с появлением у LockBit новой версии шифровальщика LockBit 5.0, представители DragonForce публично предложили коллегам прекратить внутренние распри и согласовать «правила рынка» — ровные условия, отказ от публичных оскорблений и взаимную поддержку. LockBit отреагировала положительно, и позже DragonForce официально объявила о союзе трёх банд, пригласив к сотрудничеству и другие команды коллег-вымогателей.

Аналитики видят в этом сигнал опасной тенденции. В отчёте ReliaQuest за третий квартал 2025 года отмечено, что объединение может привести к более частым, скоординированным кампаниям и расширению целей атак — вплоть до объектов критической инфраструктуры. Не исключено, что альянс может помочь LockBit восстановить позиции после крупного удара правоохранительных органов в 2024 году. Тогда в феврале международные операции привели к изъятию серверов, доменных имён и ключей дешифровки; в мае расследователи также связали группу с конкретным человеком — Дмитрием Юрьевичем Хорошевым — но он остаётся на свободе. Эти действия подорвали доверие аффилиатов, и многие бывшие партнёры LockBit перешли к другим группам.

Важно, что на практике пока не зафиксировано единой инфраструктуры альянса: общего сайта для слива данных или единого портала утечек не появилось, и каждая банда по-прежнему берёт ответственность за собственные операции. Qilin, например, публично заявила о взломе Asahi Beer, а LockBit и DragonForce продолжают публиковать свои атаки отдельно. Тем не менее обмен опытом и ресурсами — от инструментов до клиентских баз — уже сам по себе расширяет возможности преступников.

Особое беспокойство вызывает изменение риторики LockBit после выпуска версии 5.0: в документации к ней группа сняла прежние табу и прямо указала, что атаки на критическую инфраструктуру — электростанции и аналогичные объекты — теперь разрешены, если не достигнута отдельная договорённость с ФБР. Это означает, что, по крайней мере декларативно, операторы считают допустимыми нападения на отрасли, которые ранее старались избегать.

Параллельно с этим развивается и англоязычное объединение хакеров: Scattered Spider, ShinyHunters и Lapsus$ объявили о новой коалиции под именем Scattered Lapsus$ Hunters и запустили собственный сайт утечек, где уже опубликованы данные по ряду компаний. ReliaQuest предупреждает, что эта группа может эволюционировать в RaaS-провайдера — сочетая навыки социальной инженерии с технологиями шифрования.

Исследователи оценивают появление таких альянсов как переход на новую стадию преступной экономики: вместо фрагментированной конкуренции группировки вымогателей начинают выстраивать устойчивые «деловые» связи — делиться кодом, инфраструктурой и каналами сбыта данных. Это делает атаки более массовыми и сложными для пресечения, поскольку одновременно растут ресурсы, масштаб и профессионализм преступников.