DragonForce, Qilin и LockBit: больше никаких оскорблений, только дружба и совместные атаки.
Три известные группировки вымогателей — DragonForce, Qilin и LockBit — объявили о создании альянса. По сути это попытка координировать действия нескольких крупных (ransomware-as-a-service, «вымогательство как услуга»), и аналитики предупреждают, что такая консолидация может усилить масштаб и эффективность атак.
Инициатором объединения выступила DragonForce. В начале сентября, почти одновременно с появлением у LockBit новой версии шифровальщика LockBit 5.0, представители DragonForce публично прекратить внутренние распри и согласовать «правила рынка» — ровные условия, отказ от публичных оскорблений и взаимную поддержку. LockBit отреагировала положительно, и позже DragonForce официально объявила о союзе трёх банд, пригласив к сотрудничеству и другие команды коллег-вымогателей.
Аналитики видят в этом сигнал опасной тенденции. В за третий квартал 2025 года отмечено, что объединение может привести к более частым, скоординированным кампаниям и расширению целей атак — вплоть до объектов . Не исключено, что альянс может помочь после крупного удара правоохранительных органов в 2024 году. Тогда в феврале международные операции привели к изъятию серверов, доменных имён и ключей дешифровки; в мае расследователи также связали группу с конкретным человеком — Дмитрием Юрьевичем Хорошевым — но он остаётся на свободе. Эти действия подорвали доверие аффилиатов, и многие бывшие партнёры LockBit перешли к другим группам.
Важно, что на практике пока не зафиксировано единой инфраструктуры альянса: общего сайта для слива данных или единого портала утечек не появилось, и каждая банда по-прежнему берёт ответственность за собственные операции. Qilin, например, публично заявила о взломе Asahi Beer, а LockBit и DragonForce продолжают публиковать свои атаки отдельно. Тем не менее обмен опытом и ресурсами — от инструментов до клиентских баз — уже сам по себе расширяет возможности преступников.
Особое беспокойство вызывает изменение риторики LockBit после выпуска версии 5.0: в документации к ней группа сняла прежние табу и прямо указала, что атаки на критическую инфраструктуру — электростанции и аналогичные объекты — теперь разрешены, если не достигнута отдельная договорённость с ФБР. Это означает, что, по крайней мере декларативно, операторы считают допустимыми нападения на отрасли, которые ранее старались избегать.
Параллельно с этим развивается и англоязычное объединение хакеров: Scattered Spider, ShinyHunters и Lapsus$ объявили о новой коалиции под именем Scattered Lapsus$ Hunters и запустили собственный сайт утечек, где уже опубликованы данные по ряду компаний. ReliaQuest предупреждает, что эта группа может эволюционировать в RaaS-провайдера — сочетая навыки социальной инженерии с технологиями шифрования.
Исследователи оценивают появление таких альянсов как переход на новую стадию преступной экономики: вместо фрагментированной конкуренции начинают выстраивать устойчивые «деловые» связи — делиться кодом, инфраструктурой и каналами сбыта данных. Это делает атаки более массовыми и сложными для пресечения, поскольку одновременно растут ресурсы, масштаб и профессионализм преступников.
Подробнее:
Три известные группировки вымогателей — DragonForce, Qilin и LockBit — объявили о создании альянса. По сути это попытка координировать действия нескольких крупных (ransomware-as-a-service, «вымогательство как услуга»), и аналитики предупреждают, что такая консолидация может усилить масштаб и эффективность атак.
Инициатором объединения выступила DragonForce. В начале сентября, почти одновременно с появлением у LockBit новой версии шифровальщика LockBit 5.0, представители DragonForce публично прекратить внутренние распри и согласовать «правила рынка» — ровные условия, отказ от публичных оскорблений и взаимную поддержку. LockBit отреагировала положительно, и позже DragonForce официально объявила о союзе трёх банд, пригласив к сотрудничеству и другие команды коллег-вымогателей.
Аналитики видят в этом сигнал опасной тенденции. В за третий квартал 2025 года отмечено, что объединение может привести к более частым, скоординированным кампаниям и расширению целей атак — вплоть до объектов . Не исключено, что альянс может помочь после крупного удара правоохранительных органов в 2024 году. Тогда в феврале международные операции привели к изъятию серверов, доменных имён и ключей дешифровки; в мае расследователи также связали группу с конкретным человеком — Дмитрием Юрьевичем Хорошевым — но он остаётся на свободе. Эти действия подорвали доверие аффилиатов, и многие бывшие партнёры LockBit перешли к другим группам.
Важно, что на практике пока не зафиксировано единой инфраструктуры альянса: общего сайта для слива данных или единого портала утечек не появилось, и каждая банда по-прежнему берёт ответственность за собственные операции. Qilin, например, публично заявила о взломе Asahi Beer, а LockBit и DragonForce продолжают публиковать свои атаки отдельно. Тем не менее обмен опытом и ресурсами — от инструментов до клиентских баз — уже сам по себе расширяет возможности преступников.
Особое беспокойство вызывает изменение риторики LockBit после выпуска версии 5.0: в документации к ней группа сняла прежние табу и прямо указала, что атаки на критическую инфраструктуру — электростанции и аналогичные объекты — теперь разрешены, если не достигнута отдельная договорённость с ФБР. Это означает, что, по крайней мере декларативно, операторы считают допустимыми нападения на отрасли, которые ранее старались избегать.
Параллельно с этим развивается и англоязычное объединение хакеров: Scattered Spider, ShinyHunters и Lapsus$ объявили о новой коалиции под именем Scattered Lapsus$ Hunters и запустили собственный сайт утечек, где уже опубликованы данные по ряду компаний. ReliaQuest предупреждает, что эта группа может эволюционировать в RaaS-провайдера — сочетая навыки социальной инженерии с технологиями шифрования.
Исследователи оценивают появление таких альянсов как переход на новую стадию преступной экономики: вместо фрагментированной конкуренции начинают выстраивать устойчивые «деловые» связи — делиться кодом, инфраструктурой и каналами сбыта данных. Это делает атаки более массовыми и сложными для пресечения, поскольку одновременно растут ресурсы, масштаб и профессионализм преступников.
Подробнее:
