В фокусе / февраль 2025
Информационная безопасность

F6 обнаружила новую схему атаки на компании, допустившие утечку данных

© ComNews
27.02.2025

Эксперты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали в даркнете новую партнерскую программу Anubis. На первый взгляд она похожа на многие другие, распространяющие программы-вымогатели по модели RaaS (Ransomware as a Service), когда владельцы вредоносного ПО предоставляют его "в аренду" за процент от полученных выкупов. Но среди криминальных предложений от Anubis аналитики F6 обнаружили бизнес-модель, которая ранее не встречалась.

Первая схема, предлагаемая Anubis - привычная модель RaaS: партнерам предлагают для использования самописную программу-шифровальщик.

В схеме Data Ransom в качестве услуги предлагается уже не ВПО, а шантаж. Обычно злоумышленники сами взламывают компании и требуют у них выкуп за неразглашение чувствительных данных. Владелец программы, скрытый под ником superSonic, решил разделить эти процессы. Злоумышленникам, которые уже взломали компании и похитили их данные, но еще не воспользовались ими, Anubis предлагает свои услуги по переговорам с атакованными организациями для получения выкупа. В схеме описываются предлагаемые инструменты давления на жертв, включая информирование контрагентов компаний и клиентов, контролирующих организаций, а также публикации в соцсети X.

Еще одна модель от партнерской программы, которая не нова, но встречается нечасто – отработка доступов в компании для последующих атак. Партнер предоставляет доступ в компанию, а команда сервиса берет всю дальнейшую работу на себя. В случае успеха вознаграждение делится пополам. В модели RaaS прибыль распределяется по схеме 80/20 (большая часть криминального дохода остается партнеру, оставшееся забирает себе владелец шифровальщика), в модели Data Ransom - 60/40. Для всех моделей установлен запрет работать по странам СНГ.

Аналитики F6 Threat Intelligence считают, что Anubis – это усовершенствованная версия партнерской RaaS-программы InvaderX. В пользу этой версии говорят факты.

  • Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.
  • Еще одно совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.
  • Пользователь InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го. В свою очередь, пользователь superSonic зарегистрирован на форуме полгода назад, но сообщение о программе Anubis стало для него первым.

Участники партнерского сервиса уже приступили к активным действиям: на момент исследования они опубликовали данные утечек как минимум 4 компаний из США, Австралии и Перу.

Новости из связанных рубрик