Киберпреступники из Maze нанимают сторонние хакерские группы

Дата: 26.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Операторы программы-вымогателя SunCrypt решили присоединиться к Maze. Сообщается, что SunCrypt – это независимая группа по кибервымогательству, но теперь она будет работать совместно с Maze.

В сообщении хакеров из SunCrypt говорится о том, что присоединение к Maze произошло по той причине, что крупная киберпреступная группировка сейчас не справляется с объемом проводимых атак, поэтому нуждается в помощи извне. Также было отмечено следующее: «В Maze просто не могут справиться со всеми реализуемыми мероприятиями во время операций. Основная специализация SunCrypt – проведение атак с помощью программ-вымогателей».

Издание BleepingComputer выяснило, что Maze и SunCrypt «делят доход от успешных операций». Maze – одна из наиболее активных киберпреступных группировок в последние месяцы и в 2020 году в целом, поэтому нет ничего удивительного, в том что хакеры группы не справляются со всеми намеченными и потенциальными атаками. Поэтому в Maze приняли решение предоставить доступ к внутренней сети сторонним хакерским организациям и имеющимся программам-вымогателям в обмен на долю от полученного с выкупов доходов.

Группа SunCrypt использует в своей хакерской деятельности одноименную программу-вымогателя, которая устанавливается с помощью сильно обфусцированного сценария PowerShell:

Когда программа-вымогатель SunCrypt запускается, она подключается к URL-адресу http://91.218.114.31 и передает информацию об атаке и ее жертве. Использование этого IP-адреса дает еще один важный ключ в понимании того, какие услуги киберпреступники из Maze предоставляют партнерским группировкам.

В течение нескольких месяцев хакеры из Maze размещали сайт утечки данных и запускали атаки с известных общедоступных IP-адресов. Тем не менее, всё это время их инфраструктура остается нетронутой и незаблокированной правоохранительными органами.

91.218.114.31 – это один из адресов, которые группа Maze использует в рамках своих кампаний. Более того, вредоносное ПО Maze также передает информацию на этот IP-адрес во время атаки.

Этот общий IP-адрес означает одно из двух: Maze делится своей инфраструктурой со сторонними партнерскими киберпреступными группами или передает свои программы-вымогатели другим группировкам. Такое разделение ресурсов также объясняет, почему Maze будут получать долю дохода с каждой выплаты выкупа.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

3 × 3 =