Xakep #305. Многошаговые SQL-инъекции
Администрация популярного хакерского форума XSS (ранее DaMaGeLab) запретила рекламировать и продавать на сайте любые программы-вымогатели. Хотя такие группировки, как REvil, LockBit, DarkSide, Netwalker, Nefilim и так далее часто использовали форум для рекламы привлечения новых клиентов.
«Основная цель существования форума DaMaGeLab — это знания. Мы — технический форум, мы учимся, исследуем, делимся знаниями, пишем интересные статьи. Цель Ransomware — это только лишь заработок. Цели не совпадают. Нет, конечно же, деньги нужны всем, но не во вред основным стремлениям. Мы ведь — не рынок и не маркет площадка.
Деградация на лицо. Новички открываю СМИ, видят там какие-то безумные виртуальные миллионы долларов, которых они никогда не получат. Ничего не хотят, ничему не учатся, ничего не кодят, даже просто не думают, вся суть бытия сводится к “зашифруй — получи $” », — пишет администратор XSS в своем заявлении (полную версию можно увидеть ниже).
В итоге теперь на XSS запрещены вымогательские партнерские программы, аренда такой малвари и продажа локеров.
Вскоре после этой публикации представители ряда группировок выразили свое недовольство происходящим. К примеру, представитель LockBit оставил комментарий всего с одним словом: «внезапно».
Представитель REvil, в свою очередь, пишет, что группировка вообще покидает форум и перебирается на другой хакерский ресурс — Exploit[.]in.
Нужно сказать, что чуть раньше операторы REvil, являющегося одним из крупнейших шифровальщиков на рынке на данный момент, тоже сообщили о грядущих изменениях в своей работе. Хакеры заявили, что намерены прекратить рекламировать свою RaaS-платформу и впредь будут работать приватно, то есть с небольшой группой известных и доверенных лиц.
Также REvil планирует прекратить атаковать важные социальные секторы, включая здравоохранение, образование и правительственные сети любых стран мира, так как подобные атаки могут привлечь нежелательное внимание к работе группы. Если кто-то из клиентов все же атакует «запрещенную» компанию или организацию, хакеры намерены предоставить жертвам бесплатный ключ дешифрования, а затем обещают прекратить работу с таким «партнером».
Судя по всему, всё происходящее напрямую связано с внимание спецслужб, которое привлек к себе шифровальщик DarkSide, на прошлой неделе атаковавший крупнейшего в США оператора трубопроводов, компанию Colonial Pipeline. Этот громкий инцидент удостоился внимания на самом высшем уровне: на днях президент США Джо Байден заявил, что власти США намерены помешать работе хак-группы, и для этого уже были проведены переговоры с Москвой.
В итоге представители DarkSide заявили, что уже лишилась доступа к своим серверам и многомиллионным выкупам (хотя американские власти, похоже, пока не предпринимали никаких действий) и сообщили о прекращении работы.
Похоже, администрация XSS и операторы REvil не хотят стать объектом такого же пристального внимания со стороны правоохранительных органов, и пытаются действовать на опережение.
UPD.
Администрация Exploit[.]in так же объявила о том, что запрещает рекламу любых программ-вымогателей на своем форуме. Админы объясняют это тем, что локеры "привлекают очень много внимания".
FLASH⚡️
— Yelisey Boguslavskiy (@y_advintel) May 14, 2021
Exploit just baned #RaaS
"We are glad to see penetrate testers, specialists, coders, but we are not happy with lockers"
All topics related to lockers will be deleted. pic.twitter.com/iHtdhwVeP1