Новая группировка ransomware-as-a-service (RaaS), появившаяся в январе 2026 года, наделала много шума, опубликовав имена – и частичные данные – почти 200 жертв в быстрой последовательности. Однако эксперты по программе-вымогателю считают, что эта преступная операция, возможно, не так серьезна, как кажется. По данным Центра исследований программ-вымогателей Halcyon, по состоянию на 5 февраля большинство предполагаемых жертв находились в США, за ними следовали Великобритания и Индия. Публикация стольких жертв в быстрой последовательности не является беспрецедентной – группировка Cl0p, известная массовыми атаками на жертв, например, во время инцидента с MOVEit в 2023 году, часто публиковала данные оптом. Однако более глубокий анализ заявлений 0APT несколькими исследователями показывает, что банда, скорее всего, блефует. Рахул Рамеш и Ригун Джапаул из команды Cyderes Howler Cell заявили, что существуют серьезные сомнения относительно достоверности заявлений 0APT о жертвах. «Заявление о примерно 200 жертвах за сжатый период времени, без подтверждающих артефактов, операционно не соответствует наблюдаемому поведению групп, занимающихся программами-вымогателями», — пояснили они. «Зрелые группы обычно чередуют раскрытие информации и предоставляют доказательства компрометации для усиления рычагов воздействия на переговорах. В данном случае объявления кажутся быстрыми и неподтвержденными». Рамеш и Джапаул также отметили, что сайт утечек банды вызывает опасения относительно подлинности данных, которые, как утверждается, были украдены. Они заявили, что, хотя в разделе утечек рекламируются загружаемые древовидные структуры файлов, фактические файлы намного больше, чем ожидалось, и, похоже, структурированы так, чтобы создать впечатление масштабной кражи данных – когда их можно скачать вообще, они, по сути, состоят в основном из случайного мусора, замаскированного под архив .zip или файл .pdf. Кроме того, отметили они, на сайте нет скриншотов скомпрометированных данных, что является стандартной практикой в подполье программ-вымогателей, что еще больше ослабляет достоверность заявлений 0APT. Но помимо мусорных данных, есть убедительные доказательства того, что многих жертв может вообще не существовать. Действительно, скриншоты, которыми поделился Джейсон Бейкер из команды Research and Intelligence (GRIT) компании GuidePoint Security, ссылаются на одну жертву, Metropolis City Municipal, из которой 0APT якобы украла документы городского планирования, платежи поставщикам и внутренние служебные записки. Хотя существует реальный Метрополис в южном Иллинойсе, это небольшой город с населением чуть менее 7000 человек, и нет никаких признаков того, что он пострадал от атаки программы-вымогателя. Использование 0APT этого названия почти наверняка является отсылкой к франшизе DC Comics о Супермене – и с тех пор оно было удалено с сайта утечек. По данным GRIT, есть несколько реальных организаций, заявленных бандой, включая немецкий BASF, тайваньский Foxconn, британский GlaxoSmithKline, японский Hitachi, южнокорейский Hyundai Heavy Industries и французский TotalEnergies. Но Бейкер сказал, что по крайней мере в двух случаях, о которых ему было известно, предполагаемые жертвы заявили, что не испытывали вторжений, не находили записок с требованием выкупа и не имели прямого контакта с киберпреступниками. «Жертвы, заявленные 0APT, представляют собой смесь полностью вымышленных общих названий компаний и узнаваемых организаций, которые злоумышленники не взламывали. GRIT не обнаружил никаких доказательств того, что эти жертвы пострадали от злоумышленника, связанного с 0APT, в том числе посредством сообщений из первых рук», — написал Бейкер. «0APT, вероятно, действует таким обманным путем, чтобы поддержать вымогательство у неосведомленных жертв, повторное вымогательство у исторических жертв других групп, мошенничество с потенциальными аффилиатами или для привлечения интереса к зарождающейся группе RaaS».
Потенциальная угроза
Если 0APT действительно стремится заложить основу для серии киберпреступлений, ее деятельность по-прежнему заслуживает пристального внимания, сказал Бейкер, отметив, что нельзя исключать и легитимные атаки в будущем. А Рамеш и Джапаул заявили, что, несмотря на их забавно фарсовый дебют, 0APT ни в коем случае не была технически некомпетентной. «Наше расследование подтверждает, что операторы 0APT управляют активной платформой RaaS с функциональными вредоносными нагрузками и рабочей моделью аффилиатов», — сказали они. «Ранний блеф, возможно, был предназначен для быстрого создания репутации и привлечения более широкого круга партнеров, но, вероятно, имел обратный эффект, подрывая доверие, а не укрепляя его. «В любом случае, группа теперь явно движется вперед в своих усилиях по созданию легитимной киберпреступной операции», — добавили они.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
