Журналисты издание The Record заметили, что операторы малвари AvosLocker создали на своем сайте специальную систему, с помощью которой планируют продавать с аукциона данные взломанных компаний, если те отказались заплатить выкуп.
Группировка AvosLocker применяет «в работе» ставшую уже классической тактику двойного вымогательства. То есть преступники не просто шифруют данные своих жертв, но также публикуют украденные у компаний файлы, если те отказываются заплатить выкуп. Впервые такой подход был использован операторами вымогателя Maze в конце 2019 года, когда группировка стала похищать файлы у взломанных компаний перед их шифрованием. Теперь таким образом действуют практически все вымогательские группировки.
AvosLocker не была исключением: группа, впервые обнаруженная в июле 2021 года, тоже использовала эту схему, и за лето 2021 года опубликовала на своем сайте данные нескольких жертв, которые отказались платить или вести переговоры после атаки.
Но в середине сентября хакеры запустили переработанную версию своего сайта, который теперь обзавелся новой функцией аукциона. Теперь хакеры не «сливают» украденную у жертв информацию бесплатно, но продают эти данные с аукциона, пытаясь получить прибыль даже от неудачных атак. Журналисты отмечают, что это умный ход, дело в том, что данные, бесплатно опубликованные вымогателями, после регулярно перепродаются в Telegram-каналах и на андеграундных форумах.
Также нужно сказать, что AvosLocker — не первая хак-группа, добавившая на свой сайт функциональность аукциона. Скорее всего, хакеры вдохновились опытом вымогателя REvil, который первым использовал эту тактику в июне 2020 года.
The Record отмечает, что хорошая новость в данном случае состоит в том, что AvosLocker, к счастью, не входит в список наиболее активных и эффективных вымогателей. Согласно данным ID-Ransomware, AvosLocker осуществляет лишь около 10 атак в неделю.
