Sicarii RaaS: идеологизированный вымогатель с признаками ложного флага

Появившаяся в конце 2025 года операция Sicarii представляет собой программу-вымогатель как услуга (RaaS), сочетающую в себе привычную для современного ransomware функциональность и ярко выраженную идеологическую риторку. По имеющимся данным, на момент расследования деятельность группы привела к гибели одной жертвы.

Краткое содержание расследования

Анализ показываeт, что группа демонстрирует явную привязку к израильской/еврейской идентичности: в публичных материалах используются иврит и исторические символы, а коммуникация включает правые идеологические отсылки. В то же время подпольная активность Sicarii преимущественно ведётся на русском языке — и для вербовки, и для оперативного онлайн-общения. Лингвистический анализ указывает, что иврит в их сообщениях, вероятно, является машинным переводом или результатом использования неродного языка с многочисленными грамматическими ошибками.

«Их использование иврита является машинным переводом или неродным языком, отмеченным различными грамматическими ошибками.»

Это несоответствие вызывает вопросы о подлинности заявленной идентичности Sicarii как зрелой преступной организации и позволяет предположить попытки формирования определённого бренда или использования тактики ложного флага.

Технические характеристики и поведение вредоносного кода

По техническим признакам программа-вымогатель Sicarii демонстрирует стандартный набор возможностей, характерных для современных RaaS-операций, а также ряд реализованных защитных мер:

• Геозащита: остановка выполнения в израильских системах;
• Криптография: шифрование файлов с расширением .sicarii с использованием AES-GCM;
• Эксфильтрация и разведка: возможности для эксфильтрации данных, сбора учётных записей и разведки сети;
• Анти-VM-защиты: детекция виртуализированной среды — при наличии гипервизора вредоносный код выводит приманочное сообщение об ошибке и прекращает работу;
• Поддержание единственного экземпляра: создание мьютекса для предотвращения множественного запуска;
• Автономное размещение: сохранение во временном каталоге под случайным именем файла.

Переход от этапа уклонения к полноценной атаке осуществляется через стандартную цепочку: обход анализа в VM, развёртывание единственного экземпляра, сбор разведданных и эксфильтрация, после чего следует шифрование и требование выкупа.

Организация, руководство и коммуникация

Ведущая фигура операции известна через учётную запись в Telegram, где она позиционирует себя как лидер Sicarii. При этом в публичных заявлениях она отводит себе роль идеологического/административного авторитета, утверждая, что техническая реализация вымогателя принадлежит другим участникам. Такая сегрегация ролей может быть элементом намеренной стратегии запутывания следов.

Тактика, цели и идеология

Sicarii демонстрирует идеологизированный подход к выбору целей: в акциях упоминаются атаки против арабских и мусульманских организаций. Брендинг группы включает явные ассоциации с еврейским экстремизмом — редкий для ransomware случай, поскольку большинство групп стремится к минимизации политической окраски ради правдоподобного отрицания и более широкого рынка жертв.

Наличие такой идеологической повестки повышает вероятность использования false flag-тактик или провокационных приёмов, которые уже наблюдались в предыдущих кампаниях, связанных с антиизраильскими группировками и приводивших к путанице в определении происхождения атак.

Оценка и выводы

• Функциональность: по набору возможностей Sicarii заслуживает внимания как технически правдоподобный и работоспособный RaaS.
• Идентичность: заявленная израильско-еврейская идентичность сомнительна: доминирование русского языка в коммуникации и признаки машинного перевода иврита ставят под вопрос подлинность этой нарративной стратегии.
• Риск дезинформации: сочетание идеологического бренда и потенциальных false-flag операций делает атрибуцию атак сложной и повышает риск геополитически острых инцидентов.

В сумме Sicarii представляет собой уникальный гибрид: с одной стороны — типичная для RaaS техническая компетентность, с другой — нетипично агрессивный идеологический брендинг. Это отклонение от устоявшихся норм делает группу заслуживающей повышенного внимания со стороны исследователей, правоохранительных органов и целевых организаций.

Рекомендации для потенциальных целей и исследователей

• Усилить мониторинг внешней коммуникации и honeypot-активности для выявления характерных индикаторов компрометации;
• Проверять сообщения и публикации на наличие машинного перевода и иных лингвистических аномалий как возможного признака манипуляций;
• Учитывать вероятность false-flag операций при атрибуции атак и координировать выводы с международными партнёрами;
• Обновить политики защиты от RaaS: сегментация сети, резервирование данных, контроль за привилегиями и защита учётных данных.

Следует ожидать, что дальнейшая эволюция Sicarii будет зависеть от эффективности привлечения клиентов в RaaS-модели, а также от того, сумеет ли группа сохранить идеологическую риторику без снижения доходности операций. Наблюдение за тактиками и языковой динамикой их коммуникаций останется ключевым элементом аналитической работы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.