Поделиться
Союз хакерских группировок борется за место в Telegram. Администрация мессенджера его постоянно удаляет
Альянс киберпреступных группировок создает каналы в Telegram. Большинство из них ликвидируется администрацией сервиса, но хакеры их восстанавливают.
Совет нечестивых
Альянс трёх киберпреступных группировок, известных как Scattered Spider, LAPSUS$ и ShinyHunters, - с 8 августа 2025 г. создал не менее 16 каналов в Telegram. Большинство из них были ликвидированы администрацией сервиса, но каждый раз хакеры создают новые.
«С момента своего дебюта каналы группы в Telegram удалялись и создавались заново как минимум 16 раз под разными вариациями первоначального названия; этот повторяющийся цикл демонстрирует как подходы к модерации платформы, так и решимость операторов поддерживать этот особый тип публичного присутствия, несмотря на препятствия», — цитирует издание The Hacker News отчёт компании Trustwave SpiderLabs.
Объединение Scattered LAPSUS$ Hunters (SLH) впервые заявило о себе в начале августа серией вымогательских атак против различных организаций.
Как минимум, некоторые из них в последние месяцы использовали решения Salesforce. В начале октября члены SLH заявили, что увели не менее 1 млрд записей из облачных ресурсов Salesforce.
Основным «коммерческим предложением» SLH, впрочем, является вымогательство-как-услуга (EaaS), к которой могут присоединиться другие «партнёры» (и, соответственно, осуществлять вымогательство под «брендом» альянса SLH).
По оценкам, все три группы связаны с киберпреступным картелем The Com, для которого характерны «гибкое сотрудничество и обмен брендами». Те же злоумышленники продемонстрировали наличие связи с другими кластерами, известными как CryptoChameleon и Crimson Collective.
Битва за трибуну
По данным Spiderlabs, Telegram остаётся основной площадкой для координации деятельности, пиара и распространения ложной информации.
Например, как указывается в публикации Spiderlabs, члены группировки через Telegram обвиняли китайских «госхакеров» в эксплуатации уязвимостей, которые, по-видимому, сами же и атаковали.
Заодно в каналах группировки регулярно высмеивались британские и американские правоохранительные органы. США и Великобритании.
Через каналы осуществлялась и вербовка новых «партнёров» для участию в кампаниях давления: например, за $100 предлагалось начать заваливать спамом с требованиями и угрозами электронной почты руководителей высшего звена в атакованных компаниях.
«Постоянное восстановление своих каналов в Telegram хакерскими группировками свидетельствует не только о том, что мессенджер является их любимым средством коммуникаций, но и о том, что им очень хочется оставаться на виду, - говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - И дело не только в демонстративности, но и в том, что огласка каждой успешной атаки - это составляющая давления на жертв вымогательства: атакованные компании весьма заинтересованы в том, чтобы избежать публичности, особенно если закон не обязывает их к обратному».
По данным Spiderlabs, сейчас в альянс входят кластеры Shinycorp (также известный как sp1d3rhunters), который выступает в роли координатора и управляет восприятием бренда UNC5537/Snowflake; UNC3944 (Scattered Spider) и UNC6040 (основные операторы серии атак на Salesforce).
Кроме них, там фигурируют такие имена как Rey и SLSHsupport, которые отвечают за поддержание взаимодействия, а также yuka (также известный как Yukari или Cvsp), который имеет опыт разработки эксплойтов и позиционирует себя как брокер первичного проникновения (IAB).
Хотя кража данных и вымогательство по-прежнему остаются основными видами деятельности Scattered LAPSUS$ Hunters, злоумышленники намекают на то, что в их распоряжении - семейство специализированных программ-вымогателей под названием Sh1nySp1d3r/ShinySp1d3r, которые, дескать, могут составить конкуренцию LockBit и DragonForce. Вероятно, долго ждать кампании с использованием этого шифровальщика не придётся.
Trustwave Spiderlabs характеризует этот альянс как нечто среднее между финансово мотивированным киберпреступным сообществом и коллективом «хактивистов», ориентированным на привлечение внимания. Финансовые прибыли и слава среди себе подобных в равной степени мотивируют их деятельность.
Перекрёстное опыление
Ранее компания Acronis сообщила, что злоумышленники, стоящие за DragonForce, выпустили новый вариант вредоносного ПО, который использует уязвимые драйверы, такие как truesight.sys и rentdrv2.sys для отключения программного обеспечения безопасности и остановки защищенных процессов в рамках атаки с использованием внедрённого уязвимого драйвера (BYOVD).
Компания DragonForce, которая в начале этого года создала картель по производству программ-вымогателей, с тех пор также сотрудничает с Qilin и LockBit. Отмечено и эпизодическое взаимодействие со Scattered Spider.
Аналитик по киберугрозам компании Trustwave Сергей Мельник заявил изданию The Hacker News, что связи между DragonForce и Scattered Spider представляют собой скорее скорее оппортунистические и транзакционные взаимодействия между сторонними партнёрами, а не формальное сотрудничество.
«С нашей точки зрения, это не первый случай, когда злоумышленники, связанные с Scattered Spider... используют программу-вымогатель DragonForce», - сказал Мельник. - «Такую картину мы наблюдали в конце апреля - начале мая 2025 года, когда пострадали несколько британских ритейлеров, таких как Marks&Spencer, Co-op и Harrods. В атаках использовались методы социальной инженерии в стиле Scattered Spider и RMM-вмешательства, а затем применялся вредоносный код программы-вымогателя DragonForce».
Всё это указывает на очень серьёзные масштабы взаимодействия между разными кластерами угроз, хотя широко известны и случаи крупных конфликтов и продолжительной вражды в среде киберкриминала.
Короткая ссылка
