Рынок программ-вымогателей переживает заметные перемены, которые отражают изменяющуюся динамику внутри сообщества киберпреступников. Последствия этих изменений ощутимы как для игроков рынка, так и для организаций по всему миру, столкнувшихся с новыми вызовами в области кибербезопасности.
Крах известных групп: RansomHub, LockBit, Everest и BlackLock
Одним из наиболее резонансных событий стало неожиданное исчезновение группы RansomHub, признанной одним из лидеров в сфере программ-вымогателей в 2024 году. Группа работала по модели “Программа-вымогатель как услуга” (RaaS), предлагая аффилированным лицам вредоносное ПО с поддержкой нескольких платформ, включая Windows, Linux и ESXi. Исчезновение RansomHub в конце марта 2025 года совпало с заявлением конкурирующей группы DragonForce о приобретении инфраструктуры и филиалов RansomHub, что свидетельствует либо о враждебном поглощении, либо о стратегическом слиянии.
Параллельно с этим произошли серьезные сбои у других крупных игроков:
- LockBit и Everest подверглись атакам со стороны анонимного субъекта, представившегося как «XOXO из Праги». Взлом сайта утечек данных LockBit привел к раскрытию конфиденциальных журналов чатов и операционной информации, подорвав доверие к безопасности группы.
- Сайт Everest также был взломан, однако без аналогичных утечек данных, что свидетельствует о неполной успешности атаки.
- BlackLock, ранее известная как Eldorado, пострадала от уязвимости локального доступа к файлам (LFI), что позволило исследователям извлечь внутренние данные и нанести ущерб группе DragonForce. Этот факт ставит под сомнение уровень конкуренции и намекает на возможное сотрудничество или обмен ресурсами между группировками.
Появление новой силы — группа Qilin
На фоне указанной дестабилизации быстро набирает популярность новая группа Qilin, созданная в октябре 2022 года. Qilin представляет собой современную платформу RaaS и использует вредоносное ПО, написанное на Rust и C, с кросс-платформенной поддержкой Windows, Linux и ESXi.
Ключевые особенности вредоносного ПО Qilin:
- Настраиваемые режимы шифрования (включая ChaCha20 и RSA-4096);
- Функции очищения журналов и обеспечение секретности операций;
- Распространение по сети и целенаправленное воздействие на среды VMware и корпоративные платформы;
- Инновационная функция “Позвонить адвокату” во время переговоров о выкупе;
- Возможность самоудаления после выполнения задания;
- Прямое подключение через принтеры — нетипичная для программ-вымогателей особенность.
Группа Qilin ориентируется на гибкие требования к выкупу — от 50 000 до 800 000 долларов — что отражает прагматичный и финансово мотивированный подход. За последние месяцы Qilin совершила более 50 громких атак и разместила информацию о более чем 100 жертвах на своем сайте утечек.
Выводы и перспективы рынка программ-вымогателей
Текущие события показывают, что группы программ-вымогателей все чаще становятся объектами атак со стороны конкурентов и внешних киберактивистов, изменяя традиционную модель киберпреступного взаимодействия. Появление новых игроков, таких как Qilin, с передовыми технологиями и расширенным функционалом указывает на повышенную эволюцию вредоносного ПО и растущую сложность борьбы с киберугрозами.
Специалисты в области кибербезопасности должны иметь в виду, что изменения в экосистеме программ-вымогателей несут как риски, так и новые возможности для анализа и противодействия угрозам. Подходы к защите требуют постоянного обновления и учета стратегий взаимодействия внутри киберпреступного сообщества.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Трансформация рынка программ-вымогателей: падение лидеров и рост Qilin".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.