Компания Resecurity “поздравила” киберпреступную группировку Scattered Lapsus$ Hunters с попаданием в ловушку, расставленную её командой по анализу угроз. В результате был выдан судебный вызов одному из похитителей данных. Тем временем, печально известные вымогатели удалили свои заявления о получении “полного доступа” к системам компании.
Подразделение Hunter компании установило ловушку в ноябре 2025 года, после того как группа, ранее известная как ShinyHunters, начала зондировать её общедоступные сервисы и приложения, как говорится в сообщении в блоге, опубликованном в канун Рождества.
“Понимая, что злоумышленник ведёт разведку, наша команда создала приманку”, — сообщило подразделение Resecurity по анализу угроз 24 декабря. “Это привело к успешному входу злоумышленника в одно из эмулированных приложений, содержащих синтетические данные”.
В выходные компания потроллила преступников в социальных сетях.
Ловушка включала поддельные учётные записи сотрудников, в том числе одну, выдающую себя за “Марка Келли” с адресом электронной почты mark@resecurity.com, которая была размещена на площадке украденных данных Russian Marketplace. Она также содержала синтетические данные и сообщения, такие как 28 000 записей, имитирующих потребителей, и более 190 000 фальшивых записей платёжных транзакций.
“В нашем сценарии нашей целью было позволить злоумышленнику вести деятельность и кормить его синтетическими данными, чтобы наблюдать за его путём атаки и инфраструктурой”, — написала команда Resecurity.
Это сработало.
3 января киберпреступная группа заявила через Telegram, что получила “полный доступ” к системам Resecurity и украла “всё”, включая внутренние чаты и журналы, данные сотрудников, отчёты об анализе угроз и управленческие файлы, а также информацию о клиентах. “В течение нескольких месяцев REsecurity пыталась использовать методы социальной инженерии против нас и групп, которые мы знаем”, — говорилось в сообщении.
Как оказалось, это была ещё одна уловка со стороны команды Resecurity. По словам специалистов по безопасности, обработка поддельных данных “привела к нескольким ошибкам OPSEC” со стороны Scattered Lapsus$ Hunters, включая раскрытие точных серверов, используемых для автоматизации. Фирма по безопасности также опубликовала информацию об IP-адресах злоумышленника, в том числе из Египта и Mullvad VPN.
“После того как злоумышленник был обнаружен с использованием доступной сетевой разведки и временных меток, иностранная правоохранительная организация, партнёр Resecurity, выдала запрос на судебный вызов в отношении злоумышленника”.
Днём позже, 4 января, заявления были удалены из Telegram-канала.
После публикации аккаунт, принадлежащий ShinyHunters, заявил, что в ловушку попала не она, а Scattered LAPSUS$ Hunters. “Произошло недоразумение, предыдущие СМИ, сообщившие об этой ситуации, ошибочно приписали её ShinyHunters, а не Scattered LAPSUS$ Hunters (SLH). Я хочу внести ясность, что канал TG конкретно связан с Scattered LAPSUS$ Hunters, а не с ShinyHunters. Любая информация или утечки, исходящие из этого канала TG, связаны с Scattered LAPSUS$ Hunters (SLH). Однако ShinyHunters остаётся представителем как группы ShinyHunters, так и коллектива Scattered LAPSUS$ Hunters (SLH)”.
Команда Resecurity отказалась сообщить, какое именно иностранное правоохранительное агентство выдало судебный вызов, но сообщила The Register, что один из подозреваемых является не гражданином США, имеющим связи в США и Великобритании. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Jessica Lyons
