0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

150 взломов, а в архивах — пусто. Что не так с «грозными» хакерами из 0APT

leer en español

0APT Intel 471 ransomware фейковые атаки утечка данных киберугрозы вымогательство
150 взломов, а в архивах — пусто. Что не так с «грозными» хакерами из 0APT
0APT Intel 471 ransomware фейковые атаки утечка данных киберугрозы вымогательство

Рассказываем, почему компаниям пока не стоит впадать в панику.

image

В начале 2026 года в киберпространстве появился новый игрок — группировка 0APT, заявившая о создании собственной платформы «вымогательство как услуга». За несколько недель она успела наделать шума, спровоцировав настоящую панику в службах информационной безопасности ряда компаний. Между тем специалисты Intel 471 установили, что большинство заявлений группировки, скорее всего, являются ложью.

0APT появилась в январе 2026 года и стремительно опубликовала на своём сайте утечек в сети Tor список из более чем 150 якобы взломанных организаций. Именно скорость и масштаб заявлений насторожили аналитиков. Файлы, которые группировка представила как доказательства кражи данных, достигали нескольких терабайт каждый, однако при частичной загрузке оказывались заполнены повторяющимися нулевыми байтами — то есть не содержали никаких полезных данных. Сами «жертвы» в большинстве своём не поддавались проверке и выглядели как искусственно сгенерированные.

Ситуация обострилась, когда среди перечисленных целей начали появляться названия реальных компаний. Некоторые из них уже успели запустить внутренние процедуры реагирования на инциденты. Тем не менее Intel 471 пришла к выводу, что убедительных доказательств реальных атак нет: обнаруженный образец вредоносного программного обеспечения группировки оказался скорее незавершённой разработкой, нежели полноценным инструментом шифрования.

Для сравнения: в январе 2026 года наибольшее число подтверждённых атак совершила группировка Qilin — свыше 100 случаев. В 2023 году группа CLOP эксплуатировала уязвимости в серверах управляемой передачи файлов и атаковала около 130 жертв. В отличие от 0APT, обе группировки имеют доказанную историю реальных операций.

Несмотря на то, что нынешняя активность 0APT расценивается как недостоверная, Intel 471 не исключает, что группировка тестирует инфраструктуру для будущих атак. В связи с этим команда разработала набор инструментов для поиска угроз, ориентированных на поведение, характерное для 0APT: подозрительная активность PowerShell, создание архивов WinRAR, удалённые команды WMI, нестандартное SMB-взаимодействие и удаление теневых копий.

Специалисты рекомендуют не инициировать масштабное реагирование на основании одного лишь появления названия организации на сайте утечек — сначала необходимо убедиться в подлинности представленных доказательств. Если данные выглядят сгенерированными или повреждёнными, к заявлениям стоит относиться скептически. Своевременное информирование внутренних заинтересованных сторон о природе подобных фейковых угроз позволяет избежать паники и сберечь ресурсы команды безопасности.