Попытки привлечь китайских злоумышленников в основном были замечены на хакерском форуме RAMP.
Специалисты компании Flashpoint зафиксировали на русскоязычных хакерских форумах некоторую необычную активность. Администраторы форума RAMP, похоже, обращаются к китайским коллегам с предложением участвовать в обсуждениях, делиться советами и сотрудничать при атаках.
Влиятельные пользователи и администраторы RAMP сейчас активно пытаются общаться с новыми участниками форума на китайском языке с помощью машинного перевода. По словам администраторов RAMP, на данный момент на форуме около 30 пользователей китайского происхождения. Однако, помимо заголовков на форумах на китайском языке, здесь нет заметного присутствия китайскоязычных злоумышленников. Админы обещали в ближайшее время добавить контент для китайских пользователей. Примечательно, что администраторы RAMP больше не требуют свидетельство членства на Exploit и XSS (двух других ведущих русскоязычных нелегальных форумах) для подтверждения регистрации.
Как полагают эксперты, российские вымогательские группировки стремятся сформировать альянсы с китайскими хакерами для проведения кибератак на цели в США, обмена информацией об уязвимостях или даже привлечения новых специалистов для своих RaaS-операций (Ransomware-as-a-service). Данные действия были инициированы администратором RAMP, использующим псевдоним Kajit, который недавно провел некоторое время в Китае и может говорить на этом языке.
Однако российские хакеры, пытающиеся сотрудничать с китайскими злоумышленниками, не ограничиваются форумом RAMP, поскольку Flashpoint также видела подобное поведение на хакерском форуме XSS. Пользователь XSS, использующий псевдоним hoffman, приветствовал двух участников форума, которые оказались китайцами, и спросил, могут ли они предоставить информацию об уязвимостях или вымогательском ПО.
Flashpoint также подчеркивает, что данная история может просто оказаться обманом. Например, в прошлом месяце администратор RAMP, использующий псевдонимы Orange и boriselcin и управляющий сайтом Groove, в одном из своих сообщений призвал злоумышленников атаковать США. После того как СМИ ответили на данную публикацию, Groove сообщил, что группировки как таковой не существует и это всего лишь проект одного человека с целью троллинга и манипулирования исследователями в области кибербезопасности и СМИ.
Впервые о появлении Groove было объявлено 22 августа 2021 года на русскоязычном киберпреступном форуме RAMP. В то время его администратор, некто Orange, охарактеризовал новоявленную угрозу как "агрессивную, финансово мотивированную преступную организацию, в течение двух лет занимающуюся промышленным шпионажем". Как сообщали специалисты ИБ-компании McAfee, RAMP является результатом раскола известной кибервымогательской группировки Babuk. В сентябре пользователь Groove (по мнению экспертов ИБ-компании Intel471, Groove и Orange - это одно лицо) опубликовал на форуме порядка 500 тыс. учетных данных пользователей Fortinet VPN. По мнению некоторых экспертов, целью публикации было привлечь в Groove новых партнеров, но больше похоже на то, что автор публикации на самом деле стремился привлечь внимание ИБ-исследователей и журналистов.
Одно найти легче, чем другое. Спойлер: это не темная материя