Мошенники притворяются новой группой MadCat, чтобы обманывать коллег-киберпреступников

Мошенники притворяются новой группой MadCat, чтобы обманывать коллег-киберпреступников

Ники меняются — стратегии остаются теми же.

image

23 ноября в социальной сети X (бывший Twitter) эксперт по кибербезопасности Доминик Альвьери опубликовал, казалось бы, анонс новой группы вымогателей MadCat. В посте был представлен логотип злоумышленников и предупреждение о том, что их дебюта следует ожидать через неделю.

Однако дальнейшее расследование киберследователя Кароля Пачорека и его команды из CSIRT KNF выявило совсем иную картину. Пачорек обнародовал результаты своего анализа, согласно которым за MadCat на самом деле стоят мошенники с никами @rooted и @whitevendor на одном из теневых форумов.

Злоумышленники предлагали к покупке паспортные данные 246 тысяч граждан Польши, а также людей из других стран. Объявления, как ни странно, оказались приманкой для их коллег-киберпреступников.

Так, 27 октября на форуме BreachForums некто «onesandzeroes» пожаловался, что перечислил на счет @rooted около 3000 долларов в криптовалюте за якобы украденные данные граждан Японии и Китая, но так ничего и не получил.

Впоследствии анализ CSIRT показал, что за никами @whitevendor и @rooted стоит один и тот же человек или банда. На это указывает схожий стиль письма и схемы обмана.

Более того, исследование выявило связь этих ников с доменом plessy.eu и аккаунтом Github shinyenigma , через который в прошлом году распространялся вирус-шифровальщик.

Их активность также связывают с @MadCatR — каналом в Telegram, который, в свою очередь, ассоциируется с группой @MadCatRansom. То есть фактически это те же люди, которые стоят за «новой» группировкой MadCat.

Пачорек прокомментировал пост Альвьери следующим образом: «Это группа, которая с самого начала сосредоточила свои интересы на мошенничестве. Я предвижу для них такой же стремительный крах, как у еще одной недавней неудавшейся банды вымогателей — RansomedVC».

В докладе CSIRT также сказано, что после негативных отзывов о мнимой продаже китайских и японских паспортов пользователь @whitevendor удалил свой аккаунт. А затем создал новый под ником @plessy, продолжая заниматься теми же делами.

Похоже, очередная попытка аферистов организовать группу кибервымогателей провалилась еще до старта. Учитывая их прошлые махинации, маловероятно, что им удастся обмануть кого-либо под новой маской.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!