Хочешь почувствовать себя хакером? Теперь любой новичок BreachForums получает готовый инструмент для взлома компаний

Киберпреступный рынок сделал ещё один шаг к «конвейерному» вымогательству. Группа Vect выстроила сразу два партнёрства, которые резко упрощают запуск атак и расширяют их масштаб. В связке с форумом BreachForums и командой TeamPCP злоумышленники фактически превращают распространение шифровальщиков в массовый сервис с готовой инфраструктурой и потоком уже скомпрометированных доступов.

Vect появилась в конце 2025 года как сервис вымогательского ПО по модели «программа для партнёров». К началу 2026 года операторы усилили инфраструктуру и оформили многоуровневую систему для участников. Группа использует двойное вымогательство — сначала крадёт данные, затем шифрует системы и угрожает публикацией. По уровню организации проект выглядит как работа опытных операторов, возможно, связанных с более ранними кампаниями.

Новая схема строится на двух опорах. Первая — BreachForums, один из крупнейших англоязычных теневых форумов с сотнями тысяч пользователей. Площадка превращается из витрины украденных данных в инструмент запуска атак. Участникам раздают ключи партнёров, вводят систему выплат в Monero и даже элементы «геймификации», где доход зависит от активности. Фактически любой пользователь форума может подключиться к атакам.

Вторая опора — TeamPCP, группа, которая в марте 2026 года активно атаковала цепочки поставок программного обеспечения. Злоумышленники внедряли вредоносный код в популярные инструменты и пакеты, включая Trivy, LiteLLM и другие компоненты CI/CD. Через такие внедрения удалось собрать ключи API, SSH-доступы и токены облачных сервисов. Теперь эти данные передают партнёрам Vect для дальнейших атак.

Такой подход меняет саму логику доступа. Раньше злоумышленники взламывали периметр — через фишинг или уязвимые сервисы. В текущей модели доступ получают изнутри инфраструктуры компаний, через процессы разработки и сборки. Масштаб тоже отличается — речь идёт о потенциально тысячах организаций, затронутых одной цепочкой поставок.

Технически Vect использует собственный код на C++, а не переработанные утечки других групп. Шифрование выполняется алгоритмом ChaCha20-Poly1305, причём файлы портятся частично, чтобы ускорить атаку. Вредоносное ПО работает с Windows, Linux и VMware ESXi, отключает защитные механизмы и распространяется по сети через SMB и WinRM. Перед запуском шифрования программа останавливает сервисы безопасности и резервного копирования.

На сайте утечек Vect уже появились первые цели, среди них Guesty, USHA International и S&P Global, хотя часть заявлений пока не получила независимого подтверждения. В одном случае речь идёт о сотнях гигабайт данных, предположительно украденных через кампанию TeamPCP.

Связка массового форума, поставщика доступа и готовой вымогательской платформы создаёт модель, которой раньше не наблюдали в таком масштабе. Если схема закрепится, порог входа в киберпреступность снизится ещё сильнее, а атаки станут более частыми и менее предсказуемыми.

Специалисты рекомендуют срочно менять все учётные данные в системах, где использовались затронутые инструменты, проверять зависимости в CI/CD и ограничивать внутренние сетевые протоколы. Отдельное внимание стоит уделить инфраструктуре виртуализации и мониторингу подозрительных действий, связанных с подготовкой к шифрованию.