Новости RADAR и DISPOSSESSOR: новый грозный альянс захватывают RaaS-арену

NewsMaker

I'm just a script
Премиум
13,849
20
8 Ноя 2022
Инновационные подходы к вымогательству возносят хакеров на новые вершины.


wzqemslxk157h6pk5u9xgkyfc4clvksk.jpg


В апреле исследователь безопасности по имени Джим Уолтер из компании SentinelOne Для просмотра ссылки Войди или Зарегистрируйся о том, как некоторые партнёры по программам-вымогателям начали объединяться, чтобы получить оплату, если их обманули предыдущие партнёры.

Наиболее известный недавний случай произошёл с группировкой ALPHV, которая якобы Для просмотра ссылки Войди или Зарегистрируйся от Change Healthcare и Для просмотра ссылки Войди или Зарегистрируйся не выплатив долю партнёру, который извлёк данные. Оказавшись без денег и с данными, партнёр обратился к RansomHub, чтобы попытаться заставить Change Healthcare заплатить за удаление данных.

Схожая ситуация произошла и с Long Island Plastic Surgery (LIPSG). Группа ALPHV якобы получила сниженный выкуп от жертвы, а партнёр, который осуществил кражу данных, не получил денег ни от жертвы, ни от ALPHV. В результате партнёр, который назвал себя RADAR, пытался повторно получить оплату от LIPSG, но безуспешно, после чего слил данные на сайт утечек Leaked Data, принадлежащий хакеру DISPOSSESSOR.

DISPOSSESSOR появился в феврале 2024 года, когда объявил на форуме BreachForums о наличии данных 330 жертв Lockbit. Аналитики тогда заявили, что DISPOSSESSOR не является группой-вымогателем, а всего лишь перепродаёт ранее украденные данные, включая утечки от Clop, Hunters International, 8Base и Snatch. В мае стало понятно, что DISPOSSESSOR следует модели Ransomware-as-a-Service ( RaaS ), подобной LockBit, но фактически является брокером данных, а не группой-вымогателем.

В июне этого года пользователь RADAR опубликовал объявление на BreachForums о найме пентестеров, и за него поручился DISPOSSESSOR. Примерно с этого момента оба хакера переквалифицировались в полноценные вымогательские банды.

Сайт с утечками хакера DISPOSSESSOR по-прежнему называется «Leaked Data», однако Для просмотра ссылки Войди или Зарегистрируйся ресурс представился как команда «RADAR и DISPOSSESSOR». В беседе киберпреступники пояснили, что обе группы сейчас участвуют в одних и тех же атаках, обмениваются инструментами, методами и делят прибыль.

На этой неделе сайт Leaked Data добавил двух новых жертв из сектора здравоохранения США: Delhi Hospital в Луизиане и Aire Dental в Нью-Йорке. Эти инциденты ранее не были зарегистрированы другими группами.

Сайт Leaked Data включает подробные правила для партнёров и описывает функции, которые предоставляют RADAR и DISPOSSESSOR, включая генерацию сборок с разными настройками, два разных шифровальщика для Windows, возможность редактировать списки процессов и исключений, а также быстрое и эффективное удаление свободного пространства после шифрования.

Несмотря на недолгую публичную активность, хакеры RADAR и DISPOSSESSOR заявляют о трёхлетнем опыте работы, отмечая, что за это время они не были пойманы ФБР. Команда продолжает предлагать свои услуги другим группам или партнёрам, желающим выставить данные на продажу, а тот факт, что они перешли на модель RaaS, становясь ещё одной группой, функционирующей по такому принципу, вызывает обеспокоенность экспертов.

На своём сайте утечек RADAR и DISPOSSESSOR придерживаются собственного стиля предварительной публикации данных. Так, вместо скриншотов с украденной информацией, хакеры прикрепляют на страницу утечки небольшие видеозаписи, где наглядно демонстрируют каталоги с похищенными данными. При этом, если жертвы не свяжутся с преступниками до истечения времени на обратном отсчёте, хакеры сливают уже более длинное видео, где подробно видно все утекшие данные.

Как и некоторые другие группы, RADAR и DISPOSSESSOR также угрожают своим жертвам регулятивными действиями или судебными исками, хотя на практике вероятность их реализации невелика в силу анонимности подобных вредоносных акторов.
 
Источник новости
www.securitylab.ru

Похожие темы