Критическая ошибка в коде нового вымогателя Sicarii, возможно, связанная с использованием ИИ, делает невозможным восстановление данных жертвами даже после уплаты выкупа, поскольку закрытый ключ шифрования уничтожается при каждом запуске.
Ошибка в коде, возможно, возникшая из-за чрезмерной зависимости от инструментов кодирования по наитию (vibe coding) с использованием искусственного интеллекта (ИИ), превратила новую разновидность программ-вымогателей в крайне опасную угрозу, по данным исследователей из Центра исследований программ-вымогателей (RRC) компании Halcyon.
Операция, связанная с вымогательством Sicarii в модели Ransomware-as-a-Service (RaaS), появилась в киберкриминальном подполье в декабре 2025 года, начав искать аффилиатов в даркнете. Однако теперь технический анализ группы Halcyon выявил критический дефект в механизме обработки ключей шифрования Sicarii, который делает невозможным восстановление доступа к зашифрованным системам как для жертвы, так и для самих киберпреступников. Лучшей практикой для жертв программ-вымогателей считается отказ от уплаты выкупа, отчасти потому, что это не гарантирует возврат данных. Этот явный дефект фундаментально подрывает возможность восстановления, делая Sicarii еще более опасной угрозой. «Не платите выкуп Sicarii», — заявила старший вице-президент RRC Синтия Кайзер. «Вы ничего полезного не получите».
Неправильная обработка ключей RSA
Проблема кроется в том, как исполняемый файл Sicarii обрабатывает реализацию RSA. Когда блокировщик программ-вымогателей запускается впервые, он локально регенерирует новую пару ключей RSA, использует этот ключ для шифрования, но затем по какой-то причине отбрасывает закрытый ключ. В результате такое «генерация ключа при каждом запуске» означает, что шифрование не привязано к какому-либо восстанавливаемому мастер-ключу, поэтому у жертв нет жизнеспособного пути для дешифрования, а дешифраторы, предоставляемые злоумышленниками, неэффективны. По сути, выплата выкупа не может существенно улучшить результаты восстановления. «Halcyon с умеренной уверенностью предполагает, что разработчики могли использовать инструменты с поддержкой ИИ, что могло способствовать этой ошибке реализации», — отмечает команда. «Организации, пострадавшие от программ-вымогателей Sicarii, должны исходить из того, что выплата выкупа не приведет к успешному восстановлению данных, если нет независимого подтверждения того, что этот дефект был устранен».
Лучшей защитой от любой атаки программ-вымогателей остается заблаговременное развертывание эффективных средств защиты, обеспечение наличия защищенных резервных копий для восстановления и, по возможности, использование специализированных решений по борьбе с программами-вымогателями. Но команда Halcyon советует: если ваша организация стала жертвой атаки Sicarii и восстановление через дешифратор невозможно, жертвам не следует тратить время на бессмысленные переговоры, а переходить к альтернативным путям восстановления — изолировать затронутые системы, сохранять криминалистические доказательства, использовать доступные журналы и телеметрию для определения масштабов компрометации и обращаться за поддержкой к сторонним специалистам по реагированию на инциденты.
Кто такие Sicarii?
В истории Сикарии (Sicarii) были группой еврейских повстанцев, действовавших во время римской оккупации Иудеи. Названная в честь своих больших изогнутых кинжалов, или сика, считается, что члены этой группы совершили массовое самоубийство около 72–73 гг. н. э. во время Осады Масады, крепости на вершине холма с видом на Мертвое море на территории современного Израиля. Эта история находит отражение в современной банде Sicarii, которая отличает себя от преимущественно русскоязычной экосистемы программ-вымогателей, активно используя израильскую и еврейскую символику. Брендинг банды включает ивритские надписи и отсылки к «Хагане» — военизированной организации, боровшейся против британского правления в Палестине до обретения Израилем независимости в 1948 году. По данным Check Point, банда Sicarii предлагает финансовое вознаграждение за атаки, проводимые против арабских или мусульманских государств, и использует геозонирование своего блокировщика, чтобы он не запускался на системах, расположенных в Израиле.
Однако Check Point отмечает наличие нескольких аномалий и несоответствий, которые затрудняют определение того, действительно ли Sicarii является израильской бандой, занимающейся программами-вымогателями. Среди прочего, ее участники кажутся более свободно владеющими английским и русским языками, чем ивритом — их замечали в прямом переводе английских идиом на иврит, которые не существуют в этом языке. Исследователи полагают, что идеологические заявления банды — вероятно, призванные отпугнуть многих аффилиатов — представляют собой перформативное поведение или маскировку (false-flag), а не искреннюю приверженность Израилю. Их оперативники кажутся несколько недисциплинированными, добавили исследователи. В подробном анализе Sicarii от Check Point, с которым можно ознакомиться полностью здесь, отмечается, что предыдущие кибератаки, приписываемые иранским группировкам, использовали отсылки к еврейской истории и мифам, а также фабриковали израильские персонажи для проведения операций под чужим флагом.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton