RADAR и DISPOSSESSOR: новый грозный альянс захватывают RaaS-арену

В апреле исследователь безопасности по имени Джим Уолтер из компании SentinelOne опубликовал статью о том, как некоторые партнёры по программам-вымогателям начали объединяться, чтобы получить оплату, если их обманули предыдущие партнёры.

Наиболее известный недавний случай произошёл с группировкой ALPHV, которая якобы получила выкуп в размере 22 миллионов долларов от Change Healthcare и скрылась с деньгами, не выплатив долю партнёру, который извлёк данные. Оказавшись без денег и с данными, партнёр обратился к RansomHub, чтобы попытаться заставить Change Healthcare заплатить за удаление данных.

Схожая ситуация произошла и с Long Island Plastic Surgery (LIPSG). Группа ALPHV якобы получила сниженный выкуп от жертвы, а партнёр, который осуществил кражу данных, не получил денег ни от жертвы, ни от ALPHV. В результате партнёр, который назвал себя RADAR, пытался повторно получить оплату от LIPSG, но безуспешно, после чего слил данные на сайт утечек Leaked Data, принадлежащий хакеру DISPOSSESSOR.

DISPOSSESSOR появился в феврале 2024 года, когда объявил на форуме BreachForums о наличии данных 330 жертв Lockbit. Аналитики тогда заявили, что DISPOSSESSOR не является группой-вымогателем, а всего лишь перепродаёт ранее украденные данные, включая утечки от Clop, Hunters International, 8Base и Snatch. В мае стало понятно, что DISPOSSESSOR следует модели Ransomware-as-a-Service (RaaS), подобной LockBit, но фактически является брокером данных, а не группой-вымогателем.

В июне этого года пользователь RADAR опубликовал объявление на BreachForums о найме пентестеров, и за него поручился DISPOSSESSOR. Примерно с этого момента оба хакера переквалифицировались в полноценные вымогательские банды.

Сайт с утечками хакера DISPOSSESSOR по-прежнему называется «Leaked Data», однако при обращении к DataBreaches для интервью ресурс представился как команда «RADAR и DISPOSSESSOR». В беседе киберпреступники пояснили, что обе группы сейчас участвуют в одних и тех же атаках, обмениваются инструментами, методами и делят прибыль.

На этой неделе сайт Leaked Data добавил двух новых жертв из сектора здравоохранения США: Delhi Hospital в Луизиане и Aire Dental в Нью-Йорке. Эти инциденты ранее не были зарегистрированы другими группами.

Сайт Leaked Data включает подробные правила для партнёров и описывает функции, которые предоставляют RADAR и DISPOSSESSOR, включая генерацию сборок с разными настройками, два разных шифровальщика для Windows, возможность редактировать списки процессов и исключений, а также быстрое и эффективное удаление свободного пространства после шифрования.

Несмотря на недолгую публичную активность, хакеры RADAR и DISPOSSESSOR заявляют о трёхлетнем опыте работы, отмечая, что за это время они не были пойманы ФБР. Команда продолжает предлагать свои услуги другим группам или партнёрам, желающим выставить данные на продажу, а тот факт, что они перешли на модель RaaS, становясь ещё одной группой, функционирующей по такому принципу, вызывает обеспокоенность экспертов.

На своём сайте утечек RADAR и DISPOSSESSOR придерживаются собственного стиля предварительной публикации данных. Так, вместо скриншотов с украденной информацией, хакеры прикрепляют на страницу утечки небольшие видеозаписи, где наглядно демонстрируют каталоги с похищенными данными. При этом, если жертвы не свяжутся с преступниками до истечения времени на обратном отсчёте, хакеры сливают уже более длинное видео, где подробно видно все утекшие данные.

Как и некоторые другие группы, RADAR и DISPOSSESSOR также угрожают своим жертвам регулятивными действиями или судебными исками, хотя на практике вероятность их реализации невелика в силу анонимности подобных вредоносных акторов.