Мошенники применяют новую схему шантажа компаний, допустивших утечку данных
изображение: recraft
Аналитики департамента киберразведки F6 Threat Intelligence выявили в даркнете очередную партнёрскую программу под названием Anubis. На первый взгляд она напоминает распространённые схемы распространения шифровальщиков по модели RaaS (Ransomware as a Service), когда создатели вредоносного ПО передают его в «аренду» за процент от выкупа. Однако среди предложений, размещённых Anubis, специалисты F6 обнаружили необычную бизнес-модель, ранее не встречавшуюся.
Первый вариант сотрудничества с Anubis строится по классической схеме RaaS: партнёры получают доступ к собственному шифровальщику, разработанному специально для программы.
А вот в модели Data Ransom акцент сделан уже не на распространении ВПО, а на вымогательстве. Ранее злоумышленники сами проникали в корпоративные сети, похищали конфиденциальные сведения и требовали деньги за молчание. Но владелец Anubis, скрывающийся под ником superSonic, решил разделить эти этапы.
Программа предлагает услуги хакерам, которые уже получили доступ к базам компаний, но пока не использовали похищенные данные. Взамен Anubis берёт на себя переговоры с жертвами, добиваясь выкупа. В арсенале давления – уведомление партнёров атакованной компании, рассылка информации клиентам, обращение в регулирующие органы, а также публикации в соцсети X.
Ещё один формат взаимодействия, который встречается реже, но не является принципиально новым, – передача доступов для дальнейших атак. В этом случае партнёр делится найденными уязвимостями, а команда Anubis самостоятельно проводит взлом и доводит дело до конца. Прибыль распределяется поровну.
Финансовая схема различается в зависимости от модели работы. В рамках RaaS создатели программы забирают 20% дохода, оставляя 80% партнёрам. В случае с Data Ransom распределение происходит в соотношении 60/40. Все схемы Anubis исключают атаки на территории бывшего СНГ.
Специалисты F6 Threat Intelligence отмечают, что Anubis может быть улучшенной версией ранее действовавшего партнёрского сервиса InvaderX. На это указывают несколько факторов. Оба проекта используют один и тот же алгоритм шифрования – ECIES, который встречается нечасто.
Кроме того, в обеих программах действует запрет на атаки в странах БРИКС, что также является редкостью. Примечательно, что владелец InvaderX прекратил обновлять сервис в ноябре 2024 г. и с января 2025-го больше не появлялся на форумах. Между тем суперSonic зарегистрировался на одной из платформ около полугода назад, но о запуске Anubis объявил только недавно.
Деятельность участников программы уже приносит результаты: на момент исследования они обнародовали утечки как минимум четырёх компаний из США, Австралии и Перу.
