Хакер #305. Многошаговые SQL-инъекции
Аналитики из компании KELA рассказывают, что хактивисты, действующие по политическим или идеологическим мотивам, используют самые разные способы финансирования, чтобы поддерживать свою деятельность. Хотя в основном хактивизм связан с DDoS-атаками и «сливами» данных, злоумышленники также занимаются кражей и продажей данных, вымогательством, сдают в аренду малварь и ботнеты, предлагают услуги взлома по найму (причем цели таких атак не имеют никакого отношения к политике).
«За последние полтора года появилось множество активных хактивистских групп. Пожертвования — метод, который многие хактивисты используют для финансирования своей деятельности, но некоторые группы ищут и другие способы получения дохода. Успех этих новых методов еще предстоит оценить.
Все это свидетельствует о том, что хактивистские группы не собираются исчезать. Они по-прежнему преданы своему делу и активно ищут разные способы финансирования», — говорят эксперты.
KELA отмечает, что эти хактивисты монетизируют свою деятельность в основном для того, чтобы оставаться активными и иметь возможность проводить атаки на нужные им цели.
И хотя некоторые исследователи считают хактивистов незначительной угрозой, В KELA уверены, что разумнее рассматривать их как обычных киберпреступников, которые несут угрозу потенциального ущерба и нарушения работы бизнеса.
Killnet
По данным исследователей, пророссийская группировка Killnet рекламировала ботнет для атак по найму еще в ноябре 2021 года, и с тех пор методы монетизации группы значительно расширились. Так, в марте текущего года Killnet запустила сервис для взлома по найму; в мае 2023 года открыла учебную программу «Дарк Школа», предложив всем желающим девять курсов, обучающих хакерским премудростям; в июле 2023 года объявила о запуске нового сервиса для DDoS-атак по найму.
Также в мае, когда число подписчиков Telegram-канала группировки выросло, Killnet объявила о запуске криптовалютного обменника, который взимает комиссию в размере 3-4%.
Помимо этого аналитики отмечают, что в период с ноября 2022 года по апрель 2023 года Killnet пыталась продавать логи, данные и доступ к чужим сетям в своих Telegram-каналах и на форуме Infinity, который принадлежит и управляется самой группой, а также содержит рекламу.
Наконец, Killnet пыталась вымогать у своих жертв выкупы за прекращение DDoS-атак или удаление украденных данных.
Anonymous Russia
Еще одна пророссийская хак-группа, Anonymous Russia, тоже занимается не только политически мотивированными DDoS-атаками, нацеленными на европейские страны.
KELA сообщает, что в апреле 2023 года группировка переключилась со сбора пожертвований на запуск платных сервисов (например, малварь для ботнета Tesla, которая рекламируется в Telegram-канале группы).
Кроме того, в мае 2023 года Anonymous Russia объявила о запуске нового DDoS-сервиса для атак на Tor-сайты, явно нацеленного на клиентов из даркнета.
Phoenix
Русскоязычная группа Phoenix последовала примеру своих «коллег» и так же перешла на альтернативные способы монетизации, включая продажу украденных данных в Telegram. Начиная с марта 2023 года хакеры открыто вымогали выкупы у юридической фирмы Michele Bonetti и телекоммуникационную компании Cellular Pacific.
Также лидер группы заявлял, что Phoenix в частном порядке осуществляет DDoS-атаки по найму и занимается персональным обучением хакеров через Telegram (стоимость занятий составляет до 250 000 рублей).
В апреле 2023 года Phoenix и вовсе объявила о том, что будет стримить видео и аудио своих атак, предоставляя доступ к прямой трансляции тем, кто больше заплатит.
Anonymous Sudan
Появившаяся в январе 2023 года группировка Anonymous Sudan, которую исследователи связывают Killnet (хотя сами хакеры эту связь отрицают), тоже торгует украденными данными в своем Telegram-канале.
К примеру, в марте 2023 года группа пыталась продать за 3000 долларов информацию, якобы похищенную у авиакомпании Air France, а от авиакомпании Scandinavian Airlines хакеры потребовали в выкуп в размере 3500 долларов за прекращение атак.
Кроме того, мы уже рассказывали о том, что в июне 2023 года Anonymous Sudan заявила о взломе Microsoft, а затем потребовала выкуп в размере 1 000 000 долларов за прекращение DDoS-атак, от которых страдала доступность сервисов компании.
Позднее, в июле 2023 года Anonymous Sudan объявила, что за 50 000 долларов готова продать базу данных, якобы содержащую информацию о 30 млн учетных записей Microsoft.
Arvin Club
Эту группировка, борющаяся против иранского режима и регулярно атакующая правительственные министерства и организации, активна с 2019 года.
В апреле 2023 года эту группа запустила приватный канал в Telegram, подписка на который стоит 49 долларов. В канале хакеры осуществляют продажу данных, украденных в результате атак, новейших эксплоитов, уязвимостей и многого другого.
Passion
Также в отчете KELA упоминается русскоязычная группа Passion, которая возникла в декабре 2022 года и использовала собственный ботнет для атак на медицинские учреждения в США и странах Европы (в ответ на поставку танков Украине).
Исследователи говорят, что всего через несколько дней после начала активности группы ее ботнет был выставлен на продажу (от 30 долларов в неделю). Новейшая его версия, также доступная для «покупки», была анонсирована в марте 2023 года.