Хакеры больше не хотят просто ваших денег. Теперь они хотят прислать к вам домой спецназ

Кибервымогатели вышли на новый уровень давления на бизнес. Вместо привычных писем с требованием выкупа они атакуют руководителей лично, угрожают их семьям, рассылают жалобы журналистам и регуляторам и даже вызывают вооружённую полицию к домам топ-менеджеров. Так действует группа, называющая себя Scattered Lapsus ShinyHunters, сокращённо SLSH. По данным исследователей, некоторые компании уже платят, чтобы остановить не только утечку данных, но и волну запугивания.

От классических вымогательских групп, работающих с программами-шифровальщиками, эта команда отличается хаотичным стилем и отсутствием каких-либо «правил». Об этом рассказали в Unit 221B. Специалисты давно отслеживают активность участников SLSH в каналах Telegram, где они публикуют угрозы и оказывают давление на жертв. В отличие от более организованных преступных объединений, эта группа не пытается создать репутацию тех, кто выполняет обещания после получения денег. Рассчитывать на удаление украденных данных в таком случае нельзя.

Если многие вымогатели ограничиваются публикацией фрагментов похищенной информации и обратным отсчётом до утечки, то SLSH идёт дальше. Участники группы угрожают физической расправой руководителям и их близким, устраивают DDoS-атаки на сайты компаний и запускают массовые рассылки писем, парализуя почтовые ящики сотрудников.

Проникновение в организации чаще всего начинается с телефонного обмана. Злоумышленники звонят сотрудникам, представляются работниками ИТ-службы и убеждают пройти «обновление» параметров многофакторной проверки. В Mandiant сообщили, что в январских атаках 2026 года жертв направляли на поддельные страницы входа. Там у людей выманивали учётные данные единого входа и одноразовые коды подтверждения, после чего преступники подключали свои устройства к системе защиты.

Нередко компания узнаёт о взломе не от своих специалистов, а из публичных сообщений самих вымогателей в новых каналах Telegram. По словам исследователей, это часть продуманной тактики. Преступники пытаются создать максимальный общественный резонанс и чувство унижения, чтобы подтолкнуть жертву к выплате.

Отдельно отмечаются случаи так называемого ложного вызова спецслужб. Преступники отправляют сообщения о якобы заложенной бомбе или захвате заложников по адресу руководителя. В результате к дому или офису приезжают вооружённые полицейские наряды. Такое давление носит прежде всего психологический характер. Параллельно журналисты получают наводки об инциденте и начинают направлять запросы в компанию.

В Unit 221B подчёркивают, что переговоры с SLSH только усиливают риск. Участники группы связаны с разрозненными интернет-сообществами, где распространены конфликты, обман и взаимные подставы. Из-за внутреннего хаоса и злоупотреблений они часто действуют импульсивно и не способны последовательно довести «сделку» до конца. Их модель больше похожа на схемы сексуального шантажа, когда жертве обещают удалить компромат после оплаты, но никаких гарантий нет.

Специалисты также считают, что группа сознательно раздувает интерес СМИ, чтобы выглядеть опаснее и влиятельнее. Даже в дни без новых атак участники публикуют угрозы и провокационные заявления, лишь бы оставаться в центре внимания.

Специалисты советуют компаниям не связывать решение о выплате с попыткой остановить травлю сотрудников и руководства. Украденные данные уже скомпрометированы, и вернуть прежнее состояние невозможно, а вот давление со временем сходит на нет. По оценке аналитиков, отказ от платежа остаётся наименее рискованной стратегией в краткосрочной и долгосрочной перспективе.