Куда исчезли киберпреступники RansomHub и кто занял их место в мире вымогателей?

1 апреля 2025 года онлайн-инфраструктура известной группы вымогателей RansomHub неожиданно прекратила свое существование. Эта группа, появившаяся в феврале 2024 года, за короткое время превратилась в одного из лидеров рынка киберпреступности, заняв нишу, ранее принадлежавшую таким известным группировкам как LockBit и BlackCat.
Куда исчезли киберпреступники RansomHub и кто занял их место в мире вымогателей?
Изображение носит иллюстративный характер

За время своей деятельности RansomHub похитила данные более чем у 200 жертв. Группа активно привлекала к сотрудничеству других известных киберпреступников, включая Scattered Spider и Evil Corp. Технические возможности RansomHub впечатляли: их вредоносное ПО работало на Windows, Linux, FreeBSD и ESXi, поддерживало архитектуры x86, x64 и ARM, а также шифровало как локальные, так и удаленные файловые системы через протоколы SMB и SFTP.

Интересно, что RansomHub избегала атак на компании из стран СНГ, Кубы, Северной Кореи и Китая. Группа предоставляла своим партнерам веб-интерфейс для настройки вымогательского ПО и раздел "Members" для создания учетных записей. В июне 2024 года RansomHub выпустила модуль "Killer", который обходил средства защиты с помощью уязвимых драйверов, но позже отказалась от него из-за высокой вероятности обнаружения.

25 ноября 2024 года операторы RansomHub запретили атаки на правительственные учреждения, что могло быть попыткой избежать повышенного внимания правоохранительных органов. В конце марта 2025 года, незадолго до исчезновения RansomHub, группировка DragonForce взломала сайт утечек данных BlackLock, а после исчезновения RansomHub заявила, что последняя «решила перейти на нашу инфраструктуру» в качестве «Картеля вымогателей DragonForce".

После исчезновения RansomHub многие ее партнеры перешли к группировке Qilin, количество раскрытых атак которой удвоилось с февраля 2025 года. DragonForce, в свою очередь, прошла ребрендинг и теперь позиционирует себя как «картель» с новой бизнес-моделью: группа предоставляет инфраструктуру и инструменты, не требуя от партнеров использования именно их вымогательского ПО. В их арсенале — панели администрирования, инструменты шифрования, хранилища файлов и сайт утечек на базе TOR.

В феврале 2025 года на сцену вышла новая группа вымогателей — Anubis, которая предлагает опцию «выкуп данных» без необходимости шифрования файлов. Anubis угрожает жертвам публикацией «журналистского расследования» об украденных данных и уведомлением регулирующих органов.

Еще одна новая группа — ELENOR-corp, использующая вариант вымогателя Mimic, нацелена на организации здравоохранения. Она собирает учетные данные с помощью исполняемого файла Python и использует усовершенствованные меры против криминалистического анализа.

На рынке киберпреступности также активны другие группы: Hellcat, эксплуатирующая уязвимости нулевого дня; Hunters International, прошедшая ребрендинг в World Leaks; Interlock, использующая стратегию ClickFix; и Black Basta, 200 000 внутренних сообщений которой были проанализированы организацией FIRST.

Информация об этих группах собрана благодаря исследованиям сингапурской компании Group-IB, eSentire и Trend Micro, GuidePoint Security, подразделения Secureworks Counter Threat Unit (CTU), исследователя Morphisec Майкла Горелика, директора по анализу угроз Secureworks CTU Рейфа Пиллинга и Форума команд реагирования на инциденты и безопасности (FIRST).


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка