GD LockerSec: Новая угроза вымогательства в 2025 году
Источник: www.cyjax.com
В январе 2025 года на киберпреступном горизонте появилась новая группа вымогателей под названием GD LockerSec. Это событие стало известным благодаря размещенному на Tor сайту утечки данных (DLS), где группа заявляет о своих атаках на четыре организации, расположенные в разных уголках мира, включая Гонконг, Нигерию, Марокко и США.
Цели и поведение GD LockerSec
GD LockerSec поделилась ссылками на скачивание данных, предположительно украденных у двух из указанной четверки организаций. Основной вопрос, вызванный действиями группы, заключается в том, столкнулась ли одна из целевых организаций с утечкой данных еще в 2024 году. Это приводит к размышлениям о мотивах GD LockerSec и их намерениях по поводу инцидентов 2024 года.
Неопределенности в тактике и методах
Разведывательная компания Cyjax не смогла определить конкретные тактики, методы или процедуры (TTP), используемые GD LockerSec. Это приводит к необходимой неопределенности в отношении технических возможностей группы. Есть предположения, что GD LockerSec может действовать как организация, предоставляющая услуги по вымогательству, однако конкретных доказательств этого не представлено.
Структура DLS и механизмы работы
Структура DLS GD LockerSec включает три основных страницы:
- Целевая страница с перечнем целевых организаций;
- Сообщения отдельных жертв с подробной информацией о похищенных данных и ссылками на скачивание;
- Страницы «О себе» и «Контакты», содержащие манифест группы, правила и контактную информацию для платформы зашифрованных сообщений Tox.
Также в DLS упоминается возможная схема «Программа-вымогатель как услуга», которая предлагает аффилированным лицам получать 90% от суммы выкупа, выплачиваемого жертвами. В январе 2025 года на популярном форуме киберпреступников была создана учетная запись, предположительно связанная с GD LockerSec, но на тот момент она не предоставила никаких конкретных данных.
Заявления о нападениях и реакция жертв
GD LockerSec объявила о нападениях на четыре жертвы, среди которых есть предприятия разных секторов. Некоторые из данных, предположительно украденных у этих жертв, доступны для загрузки на DLS, а также установлены таймеры, указывающие ожидаемые даты публикации оставшихся данных.
Несмотря на громкие заявления GD LockerSec, ни одна из организаций, ставших жертвами атак, не подтвердила факта атак и не сообщила о каких-либо кибератаках в последнее время.
Мотивация и ограничения группы
Страница «О группе» дает представление о составе членов GD LockerSec, их мотивах и предпочтениях в выборе целей. В ней также указаны запреты на нападения на определенные организации и страны, что указывает на финансовую выгоду как основную мотивацию их деятельности.
Кроме того, в DLS содержится ссылка на «дешифратор», предполагающая возможность атак на основе шифрования. Это позволяет группе предлагать помощь жертвам, которые платят выкуп, но не получают ключи для дешифрования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
