Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вымогатель RADAR заключил союз с торговцем данными DISPOSESSOR

02/08/24

 

images - 2024-08-02T121848.219

В апреле исследователь безопасности по имени Джим Уолтер из компании SentinelOne опубликовал статью о том, как некоторые партнёры по программам-вымогателям начали объединяться, чтобы получить оплату, если их обманули предыдущие партнёры.

Наиболее известный недавний случай произошёл с группировкой ALPHV, которая якобы получила выкуп в размере 22 миллионов долларов от Change Healthcare и скрылась с деньгами, не выплатив долю партнёру, который извлёк данные, напоминает Securitylab. Оказавшись без денег и с данными, партнёр обратился к RansomHub, чтобы попытаться заставить Change Healthcare заплатить за удаление данных.

Схожая ситуация произошла и с Long Island Plastic Surgery (LIPSG). Группа ALPHV якобы получила сниженный выкуп от жертвы, а партнёр, который осуществил кражу данных, не получил денег ни от жертвы, ни от ALPHV. В результате партнёр, который назвал себя RADAR, пытался повторно получить оплату от LIPSG, но безуспешно, после чего слил данные на сайт утечек Leaked Data, принадлежащий хакеру DISPOSSESSOR.

DISPOSSESSOR появился в феврале 2024 года, когда объявил на форуме BreachForums о наличии данных 330 жертв Lockbit. Аналитики тогда заявили, что DISPOSSESSOR не является группой-вымогателем, а всего лишь перепродаёт ранее украденные данные, включая утечки от Clop, Hunters International, 8Base и Snatch. В мае стало понятно, что DISPOSSESSOR следует модели Ransomware-as-a-Service (RaaS), подобной LockBit, но фактически является торговцем данными, а не группой-вымогателем.

В июне этого года пользователь RADAR опубликовал объявление на BreachForums о найме пентестеров, и за него поручился DISPOSSESSOR. Примерно с этого момента оба хакера переквалифицировались в полноценные вымогательские банды.

Сайт с утечками хакера DISPOSSESSOR по-прежнему называется «Leaked Data», однако при обращении к DataBreaches для интервью ресурс представился как команда «RADAR и DISPOSSESSOR». В беседе киберпреступники пояснили, что обе группы сейчас участвуют в одних и тех же атаках, обмениваются инструментами, методами и делят прибыль.

На этой неделе сайт Leaked Data добавил двух новых жертв из сектора здравоохранения США: Delhi Hospital в Луизиане и Aire Dental в Нью-Йорке. Эти инциденты ранее не были зарегистрированы другими группами.

Сайт Leaked Data включает подробные правила для партнёров и описывает функции, которые предоставляют RADAR и DISPOSSESSOR, включая генерацию сборок с разными настройками, два разных шифровальщика для Windows, возможность редактировать списки процессов и исключений, а также быстрое и эффективное удаление свободного пространства после шифрования.

Несмотря на недолгую публичную активность, хакеры RADAR и DISPOSSESSOR заявляют о трёхлетнем опыте работы, отмечая, что за это время они не были пойманы ФБР. Команда продолжает предлагать свои услуги другим группам или партнёрам, желающим выставить данные на продажу, а тот факт, что они перешли на модель RaaS, становясь ещё одной группой, функционирующей по такому принципу, вызывает обеспокоенность экспертов.

На своём сайте утечек RADAR и DISPOSSESSOR придерживаются собственного стиля предварительной публикации данных. Так, вместо скриншотов с украденной информацией, хакеры прикрепляют на страницу утечки небольшие видеозаписи, где наглядно демонстрируют каталоги с похищенными данными. При этом, если жертвы не свяжутся с преступниками до истечения времени на обратном отсчёте, хакеры сливают уже более длинное видео, где подробно видно все утекшие данные.

Как и некоторые другие группы, RADAR и DISPOSSESSOR также угрожают своим жертвам регулятивными действиями или судебными исками, хотя на практике вероятность их реализации невелика в силу анонимности подобных вредоносных акторов.

Темы:УгрозыВымогателиSentinelOneтактики киберпреступников
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...