Поделиться
Хакеры внедрили новую схему работы: шантаж как услуга
Аналитики департамента киберразведки F6 Threat Intelligence выявили в даркнете очередную партнерскую программу под названием Anubis. На первый взгляд она напоминает распространенные схемы распространения шифровальщиков по модели Ransomware as a Service (RaaS), однако среди предложений, специалисты F6 обнаружили необычную бизнес-модель, ранее не встречавшуюся под названием Data Ransom. В качестве услуги Data Ransom впервые предлагается уже не сам вирусный софт, а шантаж.
Новые схемы сотрудничества
Эксперты департамента киберразведки Threat Intelligence компании F6 зафиксировали в даркнете новую партнерскую программу Anubis, об этом CNews сообщили представители F6.
Хоть и на первый взгляд партнерская программа напоминает распространенные схемы распространения шифровальщиков по модели Ransomware as a Service (RaaS), когда создатели троянов передают их в «аренду» за процент от выкупа. Однако среди предложений, размещенных Anubis, специалисты по информационной безопасности (ИБ) F6 обнаружили необычную бизнес-модель Data Ransom, ранее не встречавшуюся.
Первая модель - шантаж
В модели Data Ransom акцент сделан уже не на распространении вируса, а на вымогательстве. Ранее хакеры сами проникали в корпоративные сети, похищали конфиденциальные сведения и требовали деньги за молчание. Но владелец Anubis, скрывающийся под ником superSonic, решил разделить эти этапы.
Программа предлагает услуги хакерам, которые уже получили доступ к базам данных компаний, но пока не использовали похищенную информацию. Взамен Anubis берет на себя переговоры с компаниями-жертвами, добиваясь выкупа. В арсенале давления – уведомление партнеров атакованной компании-жертвы, рассылка информации клиентам, обращение в регулирующие органы, а также публикации в социальной сети X.
По данным F6, все схемы Anubis исключают кибератаки по странам, когда-либо входившим в Содружества Независимых Государств (СНГ). В 2025 г. действующие в союзе СНГ государства-члены: Азербайджан, Армения, Белоруссия, Казахстан, Кыргызстан, Молдова, Россия, Таджикистан, Узбекистан. В ассоциированные члены входит лишь Туркменистан. Государства покинувшие СНГ — Украина, Грузия. Точной информации от F6 нет, какие страны по СНГ имеют иммунитет от ИТ-атак.
Вторая модель – проведение кибератаки
Другим форматом взаимодействия, который встречается реже, но не является принципиально новым, — передача доступов для дальнейших кибератак. В этом случае партнер делится найденными уязвимостями в компании-жертве, а команда Anubis самостоятельно проводит взлом и доводит дело до конца. Прибыль распределяется поровну.
Разница между схемами
Финансовая схема различается в зависимости от модели работы. В рамках RaaS создатели программы забирают 20% дохода, оставляя 80% партнерам. В случае с Data Ransom распределение происходит в соотношении 60/40.
Оценка бизнес-моделей
Специалисты F6 Threat Intelligence отмечают, что Anubis может быть улучшенной версией ранее действовавшего партнерского ИТ-сервиса InvaderX. На это указывают несколько факторов. Оба проекта используют один и тот же алгоритм шифрования — ECIES, который встречается нечасто.
Кроме того, в обеих программах действует запрет на кибератаки в странах не только СНГ, но и БРИКС (объединение десяти государств: Бразилии, России, Индии, Китая, Южной Африки, Объединенные Арабские Эмираты (ОАЭ), Ирана, Египта, Эфиопии и Индонезии), что также является редкостью. Примечательно, что владелец InvaderX прекратил обновлять ИТ-сервис в ноябре 2024 г. и с января 2025 г. больше не появлялся на форумах. Между тем суперSonic зарегистрировался на одной из ИТ-платформ около полугода назад, но о запуске Anubis объявил только недавно.
Деятельность участников программы уже приносит результаты. На конец февраля 2025 г. они обнародовали утечки как минимум четырех компаний из США, Австралии и Перу.
Киберразведка F6
17 февраля 2025 г. объявлено об успешном завершении сделки, в процессе которой создан бренд F6 - новой компании в сфере кибербезопасности, основанной на базе технологий и экспертизы F.A.C.C.T. Компания F6, созданная при поддержке фонда «Сайберус», сфокусируется на борьбе с ИТ-преступностью и разработке технологий и ИТ-сервисов для предотвращения и расследования киберпреступлений в России и за рубежом.
В конце 2024 г. фонд развития результативной кибербезопасности «Сайберус» объявил о сделке с акционерами F.A.C.C.T., в результате которой ИТ-компании F6 перешли инженерные технологии, экспертиза, интеллектуальная собственность и текущие контракты F.A.C.C.T. Сделка была успешно закрыта 31 января 2025 г. Акционерами новой компании стали фонд «Сайберус» (47%) и частные инвесторы (53%).
Киберугрозы в 2025 г.
Компания F6 представила первый ежегодный аналитический отчет «Киберугрозы в России и Содружестве независимых государств, о чем писал CNews. Аналитика и прогнозы 2024-2025». В анализе детально исследованы основные киберугрозы 2024 г., а также представлены рекомендации и прогнозы на 2025 г. Выводы неутешительные в связи с тем, что растет число ИТ-инцидентов и атакующих, количество утечек и кибератак вымогателей не снижается, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс.
Короткая ссылка
