1 апреля 2025 года онлайн-инфраструктура известной группы вымогателей RansomHub неожиданно прекратила свое существование. Эта группа, появившаяся в феврале 2024 года, за короткое время превратилась в одного из лидеров рынка киберпреступности, заняв нишу, ранее принадлежавшую таким известным группировкам как LockBit и BlackCat.
За время своей деятельности RansomHub похитила данные более чем у 200 жертв. Группа активно привлекала к сотрудничеству других известных киберпреступников, включая Scattered Spider и Evil Corp. Технические возможности RansomHub впечатляли: их вредоносное ПО работало на Windows, Linux, FreeBSD и ESXi, поддерживало архитектуры x86, x64 и ARM, а также шифровало как локальные, так и удаленные файловые системы через протоколы SMB и SFTP.
Интересно, что RansomHub избегала атак на компании из стран СНГ, Кубы, Северной Кореи и Китая. Группа предоставляла своим партнерам веб-интерфейс для настройки вымогательского ПО и раздел "Members" для создания учетных записей. В июне 2024 года RansomHub выпустила модуль "Killer", который обходил средства защиты с помощью уязвимых драйверов, но позже отказалась от него из-за высокой вероятности обнаружения.
25 ноября 2024 года операторы RansomHub запретили атаки на правительственные учреждения, что могло быть попыткой избежать повышенного внимания правоохранительных органов. В конце марта 2025 года, незадолго до исчезновения RansomHub, группировка DragonForce взломала сайт утечек данных BlackLock, а после исчезновения RansomHub заявила, что последняя «решила перейти на нашу инфраструктуру» в качестве «Картеля вымогателей DragonForce".
После исчезновения RansomHub многие ее партнеры перешли к группировке Qilin, количество раскрытых атак которой удвоилось с февраля 2025 года. DragonForce, в свою очередь, прошла ребрендинг и теперь позиционирует себя как «картель» с новой бизнес-моделью: группа предоставляет инфраструктуру и инструменты, не требуя от партнеров использования именно их вымогательского ПО. В их арсенале — панели администрирования, инструменты шифрования, хранилища файлов и сайт утечек на базе TOR.
В феврале 2025 года на сцену вышла новая группа вымогателей — Anubis, которая предлагает опцию «выкуп данных» без необходимости шифрования файлов. Anubis угрожает жертвам публикацией «журналистского расследования» об украденных данных и уведомлением регулирующих органов.
Еще одна новая группа — ELENOR-corp, использующая вариант вымогателя Mimic, нацелена на организации здравоохранения. Она собирает учетные данные с помощью исполняемого файла Python и использует усовершенствованные меры против криминалистического анализа.
На рынке киберпреступности также активны другие группы: Hellcat, эксплуатирующая уязвимости нулевого дня; Hunters International, прошедшая ребрендинг в World Leaks; Interlock, использующая стратегию ClickFix; и Black Basta, 200 000 внутренних сообщений которой были проанализированы организацией FIRST.
Информация об этих группах собрана благодаря исследованиям сингапурской компании Group-IB, eSentire и Trend Micro, GuidePoint Security, подразделения Secureworks Counter Threat Unit (CTU), исследователя Morphisec Майкла Горелика, директора по анализу угроз Secureworks CTU Рейфа Пиллинга и Форума команд реагирования на инциденты и безопасности (FIRST).
Изображение носит иллюстративный характер
За время своей деятельности RansomHub похитила данные более чем у 200 жертв. Группа активно привлекала к сотрудничеству других известных киберпреступников, включая Scattered Spider и Evil Corp. Технические возможности RansomHub впечатляли: их вредоносное ПО работало на Windows, Linux, FreeBSD и ESXi, поддерживало архитектуры x86, x64 и ARM, а также шифровало как локальные, так и удаленные файловые системы через протоколы SMB и SFTP.
Интересно, что RansomHub избегала атак на компании из стран СНГ, Кубы, Северной Кореи и Китая. Группа предоставляла своим партнерам веб-интерфейс для настройки вымогательского ПО и раздел "Members" для создания учетных записей. В июне 2024 года RansomHub выпустила модуль "Killer", который обходил средства защиты с помощью уязвимых драйверов, но позже отказалась от него из-за высокой вероятности обнаружения.
25 ноября 2024 года операторы RansomHub запретили атаки на правительственные учреждения, что могло быть попыткой избежать повышенного внимания правоохранительных органов. В конце марта 2025 года, незадолго до исчезновения RansomHub, группировка DragonForce взломала сайт утечек данных BlackLock, а после исчезновения RansomHub заявила, что последняя «решила перейти на нашу инфраструктуру» в качестве «Картеля вымогателей DragonForce".
После исчезновения RansomHub многие ее партнеры перешли к группировке Qilin, количество раскрытых атак которой удвоилось с февраля 2025 года. DragonForce, в свою очередь, прошла ребрендинг и теперь позиционирует себя как «картель» с новой бизнес-моделью: группа предоставляет инфраструктуру и инструменты, не требуя от партнеров использования именно их вымогательского ПО. В их арсенале — панели администрирования, инструменты шифрования, хранилища файлов и сайт утечек на базе TOR.
В феврале 2025 года на сцену вышла новая группа вымогателей — Anubis, которая предлагает опцию «выкуп данных» без необходимости шифрования файлов. Anubis угрожает жертвам публикацией «журналистского расследования» об украденных данных и уведомлением регулирующих органов.
Еще одна новая группа — ELENOR-corp, использующая вариант вымогателя Mimic, нацелена на организации здравоохранения. Она собирает учетные данные с помощью исполняемого файла Python и использует усовершенствованные меры против криминалистического анализа.
На рынке киберпреступности также активны другие группы: Hellcat, эксплуатирующая уязвимости нулевого дня; Hunters International, прошедшая ребрендинг в World Leaks; Interlock, использующая стратегию ClickFix; и Black Basta, 200 000 внутренних сообщений которой были проанализированы организацией FIRST.
Информация об этих группах собрана благодаря исследованиям сингапурской компании Group-IB, eSentire и Trend Micro, GuidePoint Security, подразделения Secureworks Counter Threat Unit (CTU), исследователя Morphisec Майкла Горелика, директора по анализу угроз Secureworks CTU Рейфа Пиллинга и Форума команд реагирования на инциденты и безопасности (FIRST).
