Обнаружена схема шантажа допустивших утечку компаний

Эксперты департамента киберразведки F6 зафиксировали в даркнете новую партнерскую программу Anubis. По словам аналитиков, схема схожа с другими, в рамках которых распространяются программы-вымогатели по модели RaaS (Ransomware as a Service). Однако новая бизнес-модель ранее не встречалась.

Так, первая схема, предлагаемая Anubis — привычная модель RaaS: партнерам предлагают для использования самописную программу-шифровальщик. В схеме Data Ransom в качестве услуги впервые предлагается уже не ВПО, а шантаж. Обычно злоумышленники сами взламывают компании и требуют у них выкуп за неразглашение чувствительных данных.

Владелец программы, скрытый под ником superSonic, решил разделить эти процессы. Злоумышленникам, которые уже взломали компании и похитили их данные, но еще не воспользовались ими, Anubis предлагает услуги по переговорам с атакованными организациями для получения выкупа.

Инструменты давления на жертв включают информирование контрагентов компаний и клиентов, контролирующих организаций, а также публикации в соцсети X.

Еще одна модель от партнерской программы, которая не нова, но встречается нечасто — отработка доступов в компании для последующих атак. Партнер предоставляет доступ в компанию, а команда сервиса берет всю дальнейшую работу на себя.

В случае успеха вознаграждение делится пополам. В модели RaaS прибыль распределяется по схеме 80/20 (большая часть криминального дохода остается партнеру, оставшееся забирает себе владелец шифровальщика), в модели Data Ransom — 60/40. Для всех моделей установлен запрет работать по странам, когда-либо входившим в СНГ.

Аналитики F6 Threat Intelligence считают, что Anubis — это усовершенствованная версия партнерской RaaS-программы InvaderX. Участники партнерского сервиса уже приступили к активным действиям: на момент исследования они опубликовали данные утечек как минимум 4 компаний из США, Австралии и Перу.

Параллельно происходят более масштабные атаки. Так, Федеральное бюро расследований США (ФБР) заявило, что хакеры из Северной Кореи ответственны за кражу $1,5 млрд у криптовалютной биржи Bybit.

В официальном заявлении ФБР говорится: «ФБР выпускает данное общественное заявление, чтобы сообщить, что КНДР несет ответственность за кражу примерно $1,5 млрд в виртуальных активах у криптовалютной биржи Bybit».