Support81
Модератор
Ники меняются — стратегии остаются теми же.
23 ноября в социальной сети X (бывший Twitter) эксперт по кибербезопасности Доминик Альвьери опубликовал, казалось бы, анонс новой группы вымогателей MadCat. В посте был представлен логотип злоумышленников и предупреждение о том, что их дебюта следует ожидать через неделю.
Однако дальнейшее расследование киберследователя Кароля Пачорека и его команды из CSIRT KNF выявило совсем иную картину. Пачорек обнародовал результаты своего анализа, согласно которым за MadCat на самом деле стоят мошенники с никами и @whitevendor на одном из теневых форумов.
Злоумышленники предлагали к покупке паспортные данные 246 тысяч граждан Польши, а также людей из других стран. Объявления, как ни странно, оказались приманкой для их коллег-киберпреступников.
Так, 27 октября на форуме BreachForums - онлайн-сообщество, которое специализируется на обсуждении информационной безопасности и кибербезопасности. Участники могут обмениваться информацией о свежих уязвимостях, обнаруженных уязвимостях, техниках и способах защиты, а также обмениваться инструментами и скриптами. На форумах также можно найти информацию о продаже и покупке учетных данных, информационных баз и другой конфиденциальной информации. Некоторые форумы также предоставляют сервисы для проверки на уязвимости и тестирования защиты. Однако, некоторая информация может быть незаконной и неэтичной, и может использоваться для неправомерных действий.
" data-html="true" data-original-title="BreachForums" style="box-sizing: border-box; color: rgb(0, 0, 0); text-decoration: none; background: rgba(224, 19, 47, 0.05); border: 1px dashed rgb(224, 19, 47); border-radius: 10px; padding: 2px 5px; cursor: pointer; white-space: nowrap;">BreachForums некто «onesandzeroes» пожаловался, что перечислил на счет около 3000 долларов в криптовалюте за якобы украденные данные граждан Японии и Китая, но так ничего и не получил.
Впоследствии анализ CSIRT показал, что за никами @whitevendor и стоит один и тот же человек или банда. На это указывает схожий стиль письма и схемы обмана.
Более того, исследование выявило связь этих ников с доменом plessy.eu и аккаунтом Github shinyenigma , через который в прошлом году распространялся вирус-шифровальщик.
Их активность также связывают с @MadCatR — каналом в Telegram, который, в свою очередь, ассоциируется с группой @MadCatRansom. То есть фактически это те же люди, которые стоят за «новой» группировкой MadCat.
Пачорек прокомментировал пост Альвьери следующим образом: «Это группа, которая с самого начала сосредоточила свои интересы на мошенничестве. Я предвижу для них такой же стремительный крах, как у еще одной недавней неудавшейся банды вымогателей — RansomedVC».
В докладе CSIRT также сказано, что после негативных отзывов о мнимой продаже китайских и японских паспортов пользователь @whitevendor удалил свой аккаунт. А затем создал новый под ником @plessy, продолжая заниматься теми же делами.
Похоже, очередная попытка аферистов организовать группу кибервымогателей провалилась еще до старта. Учитывая их прошлые махинации, маловероятно, что им удастся обмануть кого-либо под новой маской.
Подробнее: https://www.securitylab.ru/news/544011.php
23 ноября в социальной сети X (бывший Twitter) эксперт по кибербезопасности Доминик Альвьери опубликовал, казалось бы, анонс новой группы вымогателей MadCat. В посте был представлен логотип злоумышленников и предупреждение о том, что их дебюта следует ожидать через неделю.
Однако дальнейшее расследование киберследователя Кароля Пачорека и его команды из CSIRT KNF выявило совсем иную картину. Пачорек обнародовал результаты своего анализа, согласно которым за MadCat на самом деле стоят мошенники с никами и @whitevendor на одном из теневых форумов.
Злоумышленники предлагали к покупке паспортные данные 246 тысяч граждан Польши, а также людей из других стран. Объявления, как ни странно, оказались приманкой для их коллег-киберпреступников.
Так, 27 октября на форуме BreachForums - онлайн-сообщество, которое специализируется на обсуждении информационной безопасности и кибербезопасности. Участники могут обмениваться информацией о свежих уязвимостях, обнаруженных уязвимостях, техниках и способах защиты, а также обмениваться инструментами и скриптами. На форумах также можно найти информацию о продаже и покупке учетных данных, информационных баз и другой конфиденциальной информации. Некоторые форумы также предоставляют сервисы для проверки на уязвимости и тестирования защиты. Однако, некоторая информация может быть незаконной и неэтичной, и может использоваться для неправомерных действий.
" data-html="true" data-original-title="BreachForums" style="box-sizing: border-box; color: rgb(0, 0, 0); text-decoration: none; background: rgba(224, 19, 47, 0.05); border: 1px dashed rgb(224, 19, 47); border-radius: 10px; padding: 2px 5px; cursor: pointer; white-space: nowrap;">BreachForums некто «onesandzeroes» пожаловался, что перечислил на счет около 3000 долларов в криптовалюте за якобы украденные данные граждан Японии и Китая, но так ничего и не получил.
Впоследствии анализ CSIRT показал, что за никами @whitevendor и стоит один и тот же человек или банда. На это указывает схожий стиль письма и схемы обмана.
Более того, исследование выявило связь этих ников с доменом plessy.eu и аккаунтом Github shinyenigma , через который в прошлом году распространялся вирус-шифровальщик.
Их активность также связывают с @MadCatR — каналом в Telegram, который, в свою очередь, ассоциируется с группой @MadCatRansom. То есть фактически это те же люди, которые стоят за «новой» группировкой MadCat.
Пачорек прокомментировал пост Альвьери следующим образом: «Это группа, которая с самого начала сосредоточила свои интересы на мошенничестве. Я предвижу для них такой же стремительный крах, как у еще одной недавней неудавшейся банды вымогателей — RansomedVC».
В докладе CSIRT также сказано, что после негативных отзывов о мнимой продаже китайских и японских паспортов пользователь @whitevendor удалил свой аккаунт. А затем создал новый под ником @plessy, продолжая заниматься теми же делами.
Похоже, очередная попытка аферистов организовать группу кибервымогателей провалилась еще до старта. Учитывая их прошлые махинации, маловероятно, что им удастся обмануть кого-либо под новой маской.
Подробнее: https://www.securitylab.ru/news/544011.php
