Издание Bleeping Computer сообщает, что хак-группа SunCrypt, стоящая за разработкой одноименного шифровальщика, активного с осени 2019 года, объединила усилия с операторами вымогателя Maze.

В июне текущего года мы уже рассказывали о том, что операторы шифровальщика Maze начали предоставлять свою платформу для «сливов» данных другим хакерским группам. Тогда к Maze примкнули операторы вымогателей LockBit и Ragnar Locker, и конгломерат хакерских групп стал гордо именовать себя картелем Maze (Maze Cartel).

Напомню, что в конце 2019 года создатели вымогательской малвари начали «работать» по новой схеме, которая позволяет им получать больше денег от жертв. По сути, они требуют у пострадавших компаний два выкупа: один за расшифровку данных, а другой за удаление информации, которую хакеры похитили во время атаки. В случае неуплаты злоумышленники угрожают опубликовать эти данные в открытом доступе – на собственных сайтах, созданных специально для этих целей.

Все началось именно с операторов шифровальщика Maze, которые стали публиковать файлы, похищенные ими у атакованных компаний, если жертвы открывались платить. Хакеры завели для таких «сливов» специальный сайт, и вскоре их примеру последовали и другие группировки, включая Ako, Avaddon, CLOP, Darkside, DoppelPaymer, Mespinoza (Pysa), Nefilim, NetWalker, Ragnar Locker, REvil (Sodinokibi) и Sekhmet.

Когда картель Maze только сформировался, его участники отказались говорить с журналистами и объяснять, какие выгоды несет им это сотрудничество. Теперь же операторы SunCrypt рассказали Bleeping Computer, что они продолжат действовать как независимая группировка, но имеют двухсторонний канал связи с Maze. Хакеры пояснили, что участники Maze не справляются с текущим объемом задач самостоятельно и нуждаются в помощи.

«Они просто не могут охватить самостоятельно все доступные поля деятельности. А наша основная специализация — вымогательские атаки», — говорят операторы SunCrypt.

После дальнейших вопросов хакеры пояснили изданию, что они делят доход от успешных операций с Maze, хотя не сообщили, как именно члены Maze участвуют в происходящем и что конкретно делают, чтобы «заработать» свою долю. Журналисты предполагают, что если Maze не справляется самостоятельно, вероятно, группировка предоставляет доступ к  скомпрометированным компаниями другим членам картеля (в обмен на долю дохода). Судя по образцу вымогателя SunCrypt, который изучили специалисты BleepingComputer, вряд ли участники картеля получают нечто большее.

Издание рассказывает, что после запуска SunCrypt в сети зараженной компании, малварь подключается к URL-адресу http://91.218.114[.]31, куда передает информацию об атаке и жертве. Судя по всему, использование этого IP-адреса — важный ключ к пониманию того, какие услуги Maze предоставляет членам своего картеля. Так, это один из адресов, которые Maze использует и в своих собственных кампаниях. Зараженные вымогателем Maze устройства так же передают информацию на этот IP-адрес во время атак. Использование общество IP-адреса означает, что либо операторы Maze делятся своей инфраструктурой с другими группами, либо называют им свои технологии. Это использование одних и тех же ресурсов отчасти объясняет, почему операторы Maze получают свою долю с каждой выплаты выкупа.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии