Фрагментированный ландшафт российских программ-вымогателей: скрытые альянсы и дрейф операторов

Ландшафт программ‑вымогателей, связанных с Россией, претерпел значительные изменения. То, что раньше выглядело как несколько крупных, централизованных групп, уступило место более фрагментированной экосистеме с гибкими, часто скрытыми альянсами и постоянной сменой принадлежности ключевых игроков. Отчет фокусируется на этом переходе — на «эпохе после Conti», когда прежние модели работы уже не описывают реальную картину угроз.

Методология исследования

Авторы использовали так называемый «разрозненный» подход: анализ стартует от известных операторов (Conti, LockBit, Evil Corp) и шаг за шагом расширяет картину, выявляя связи между группами, подрядчиками и отдельными актерами. Такой подход позволяет визуализировать обширную сеть взаимодействий и обнаруживать паттерны, которые теряются при традиционном централизованном анализе.

Ключевые находки

• Фрагментация экосистемы: вместо нескольких монолитных групп наблюдается множество акторов и коллективов, которые формируют временные и скрытые альянсы.
• «Совпадение людей» и «дрейф операторов»: одни и те же специалисты (разработчики, перегонщики переговоров, администраторы инфраструктуры) переходят между группами, что затрудняет привязку компетенций к конкретному бренду.
• Модульная организация операций: современные операции построены как набор специализированных модулей — разработка, управление инфраструктурой, переговоры, распространение — которые могут переиспользоваться разными коллекторами.
• Стратегии уклонения и ребрендинг: некоторые игроки (например, Evil Corp) практикуют «ребрендинг» при повторном использовании базовой инфраструктуры, что позволяет частично обходить санкции и реагирование со стороны правоохранительных органов.

Иллюстративные примеры

Анализ движения людей по группам показывает наглядные кейсы:

• Wazawaka — фигурировал в связях с REvil, Babuk, LockBit, Hive и Conti.
• Basterlord — переходил от REvil к Avaddon, затем к LockBit и в итоге к Hive.

«Отдельные акторы‑вымогатели переключаются между разными группами, что делает границы между брендами условными».

Почему это важно для обороны и расследований

Новая реальность делает менее эффективными подходы, которые ориентировались на уничтожение «бренда» или инфраструктуры одной конкретной группы. Взамен необходимы:

• фокус на разрушении модульной инфраструктуры (C2, панели переговоров, платежные механизмы);
• повышенная координация между сектором безопасности, частным сектором и правоохранительными органами для отслеживания кадровых и инфраструктурных пересечений;
• основанные на данных методы атрибуции, учитывающие перемещение людей и повторное использование компонентов;
• снижение привлекательности рынка — через блокировку каналов монетизации и усиление санкционного давления на сервис‑поставщиков.

Выводы

Результаты исследования подчеркивают: чтобы эффективно противостоять эволюционирующим киберугрозам, нужно перейти от знакомства с «именами» к пониманию динамики и архитектуры рынка программ‑вымогателей. Модульность, дрейф операторов и тактический ребрендинг делают традиционные контрмеры уязвимыми — необходимы более гибкие, проактивные и координированные стратегии реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.