Сотрудники журнала The Record обнаружили создание на сайте малвари AvosLocker особой системы, через которую хозяева намерены распродавать с аукциона информацию «хакнутых» компаний, в случае их отказа от выкупа.
Хакеры AvosLocker действуют по классическому алгоритму двукратного шантажа. Вымогатели зашифровывают сведения о своих жертвах с последующей публикацией изъятых у компаний файлов, если они отказываются платить выкуп. Такую тактику впервые использовали хакеры Maze в 2019 году в период похищения файлов у взломанных компаний до их зашифровки. Сейчас действия всех хакерских групп выполняются по такому же принципу.
AvosLocker не стала исключением: группировка, которую выявили в 2021 году, тоже пользовалась описанным алгоритмом. Так, за летний период 2021 года операторы вымогателя бесплатно обнародовали на своем сайте сведения о пострадавших, отказавшихся оплачивать конфиденциальность или договариваться о выкупе.
В начале осени хакерами запущен обновленный вариант сайта с обновленным функционалом аукциона. Теперь группу не интересует «слив» сворованных данных бесплатно, они стремятся продать извлеченную информацию с аукциона, получая доход с самых неудачливых взломов. Репортерами отмечен рациональный подход вымогателей, скопировавших способ опосредованной перепродажи украденных ими данных другими ресурсами, такими как Telegram-канал и андеграундные форумы, публиковавшими данные, украденные хакерами.
Необходимо отметить, что AvosLocker — не одна из первых хакерских группировок, обновивших сайт функциями аукциона. Судя по всему, хакеры пошли по стопам вымогателя REvil, впервые использовавшего такую тактику в начале лета 2020 года.
По наблюдениям The Record позитивную сторону в этом случае журналисты видят только в том, что AvosLocker — не самая энергичная и продуктивная группа вымогателей. По статистике ID-Ransomware AvosLocker атакует только 10 раз в неделю.
