Шифрование — прошлый век: киберпреступники переходят на новую модель вымогательства

leer en español

Scattered LAPSUS$ Bling Libra SHINYSP1D3R EaaS Unit 42 Telegram вымогательство
Шифрование — прошлый век: киберпреступники переходят на новую модель вымогательства
Scattered LAPSUS$ Bling Libra SHINYSP1D3R EaaS Unit 42 Telegram вымогательство

Хакеры анонсировали «GTA 6 среди вымогателей» и пообещали показать «революционные методы давления».

image

Публикация новых сообщений в Telegram-канале «SLSH 6.0» позволила исследователям из Unit 42 отследить дальнейшую активность группировки Scattered LAPSUS$ Hunters — участников расширяющейся схемы цифрового вымогательства, ассоциируемой с проектами Bling Libra и Muddled Libra. С начала октября киберпреступники активно продвигают собственную платформу вымогательства без шифрования, обещают новую вредоносную программу и ведут поиск инсайдеров с доступом к инфраструктуре в разных странах.

10 октября, в день установленного срока оплаты выкупа, операторы выложили украденные данные шести компаний из авиационной, энергетической и розничной сфер. Судя по публикациям, архивы включали имена, даты рождения, адреса электронной почты, номера телефонов и идентификаторы участников программ лояльности. Уже на следующий день преступники заявили, что больше ничего не раскроют, намекнув, что часть полученной информации слишком чувствительная для публикации. Через несколько часов злоумышленники добавили, что временно приостанавливают активность до следующего года, но пообещали вернуться с новыми атаками.

Попытка Unit 42 получить доступ к размещённому в открытой сети сайту с архивами провалилась — вместо него обнаружилось послание, адресованное некому Джеймсу, в котором упоминались ФБР и группировка ShinyHunters. Это свидетельствует, как минимум, о попытке переориентации или временном уходе в тень.

Одним из самых заметных шагов преступников стал анонс новой схемы Extortion-as-a-Service (EaaS), аналогичной сервисной модели распространения программ-вымогателей, но без применения шифрования. По словам самих участников группировки, упор сделан на анонимность, профессиональные переговоры и снижение риска вмешательства правоохранителей. Это может указывать на стремление оставаться в серой зоне, не пересекающей красные линии киберпреступлений, вызывающих повышенное внимание со стороны спецслужб.

Кроме того, 5 октября в Telegram-канале группировки появилось сообщение о наборе инсайдеров, в первую очередь сотрудников колл-центров, телекоммуникационных компаний, SaaS-платформ, игровых студий и хостинг-провайдеров. Основной интерес сосредоточен на организациях, расположенных в США, Великобритании, Канаде, Австралии и Франции. Подобные объявления уже наблюдались ранее — в мае в рамках анализа активности Muddled Libra.

Наконец, за день до официального дедлайна вымогатели заявили о разработке новой программы-вымогателя под названием SHINYSP1D3R. Судя по опубликованным сообщениям, она позиционируется как «GTA 6 среди вымогателей» — с прицелом на оригинальные методы давления и имиджевое превосходство. Пока не ясно, идёт ли реальная разработка или публикация служит отвлекающим манёвром.

Unit 42 предупреждает, что новая модель EaaS, несмотря на отсутствие прямого ущерба IT-инфраструктуре, может нанести серьёзный удар по репутации жертв. Организациям предлагается заранее готовить сценарии реагирования — по аналогии с планами на случай шифровальных атак — с привлечением сторонних специалистов для верификации угроз, возможных переговоров и минимизации утечек.