Xakep #305. Многошаговые SQL-инъекции
МВД России при поддержке специалистов компании FAССT (бывшая Group-IB), вычислило и задержало участников хак-группы SugarLocker. Сообщается, что хакеры работали «под вывеской» легальной ИТ-компании Shtazi-IT, якобы предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов.
SugarLocker (он же Encoded01) появился еще в начале 2021 года, но в первое время малварь не использовалась активно. В ноябре того же года на хак-форуме RAMP от участника под ником gustavedore было опубликовано объявление о запуске партнерской программы по модели RaaS (Ransomware-as-a-Service, «Вымогатель как услуга») и наборе партнеров в группу вымогателей.
В объявлении говорилось, что группировка атакует цели через сети и RDP и готова незамедлительно начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — создатели SugarLocker. В случае, если доход превысит 5 млн долларов США, прибыль будет распределена на более выгодных условиях: 90% на 10%, соответственно.
В начале января 2022 года эксперты FACCT установили, что некоторые элементы инфраструктуры SugarLocker расположены на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить и панель управления программой-вымогателем.
Также отмечается, что в ходе расследования были установлено несколько лиц, которые не только занимались продвижением шифровальщика, но и разрабатывали малварь на заказ, создавали фишинговые сайты интернет-магазинов, привлекали трафик в популярные в России и СНГ мошеннические схемы.
Отдельно подчеркивается, что хакеры работали под видом легальной фирмы Shtazi-IT, предлагающей услуги по созданию лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов. Компания открыто размещала объявления о найме новых разработчиков, и в контактах был указан Telegram-аккаунт уже упомянуто выше GustaveDore.
Всю собранную информацию эксперты FACCT передали в полицию — БСТМ МВД России, и в январе 2024 года трое членов группировки SugarLocker были задержаны.
Во время обысков у подозреваемых были обнаружены ноутбуки, мобильные телефоны, следы переписки, прочие цифровые улики, подтверждающие их противоправную деятельность. Так, например, после появления в публичном доступе информации об исследованиях нового семейства шифровальщиков SugarLocker, один из фигурантов поделился с соучастниками шуткой: «Парни, я в Сибирь, мне точно надо». В итоге среди задержанных оказался и обладатель ник-неймов blade_runner, GistaveDore, GustaveDore, JimJones.
Сообщается, что задержанным уже предъявлены обвинения по статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ».