Data Ransom: шантаж выделился в самостоятельный сервис на черном рынке данных

Эксперты компании F6 обнаружили в даркнете новую партнёрскую программу под названием Anubis. По своему устройству она напоминает другие сервисы, функционирующие по модели RaaS (Ransomware as a Service), когда разработчики вредоносного ПО предоставляют его в аренду преступным группировкам в обмен на долю от выкупов. Однако аналитики выявили в предложениях Anubis бизнес-модель, которая ранее не встречалась в подобных схемах.

Первый вариант взаимодействия, предлагаемый в рамках Anubis, представляет собой стандартную схему RaaS: партнёрам передаётся специально разработанный шифровальщик для атак.

Новая схема, получившая название Data Ransom, представляет собой подход, при котором в качестве услуги предлагается не программное обеспечение, а шантаж. Обычно киберпреступники взламывают компании и требуют деньги за неразглашение похищенных данных. Однако владелец Anubis, скрывающийся под ником superSonic, предложил разделить эти этапы. Взломщики, которым удалось получить доступ к данным, но которые ещё не воспользовались ими, могут передать их программе Anubis, где специалисты займутся переговорами с жертвами для получения выкупа. Среди методов давления на компании предусмотрены уведомления их контрагентов, клиентов и регулирующих органов, а также публикации в социальной сети X*.

Ещё одна модель, включённая в партнёрскую программу, предполагает реализацию ранее полученного доступа в корпоративные сети. В этом случае партнёр предоставляет доступ к системе организации, а команда Anubis берет на себя дальнейшую атаку. В случае успеха прибыль делится пополам. Что касается распределения доходов в других схемах, в рамках RaaS партнёр получает 80% дохода, а владелец программы – 20%. В модели Data Ransom распределение осуществляется в пропорции 60/40. При этом для всех вариантов сотрудничества установлен запрет на атаки в странах, которые когда-либо входили в СНГ.

Аналитики F6 считают, что Anubis является эволюцией ранее существовавшей партнёрской программы InvaderX. На эту связь указывают несколько факторов.

В обоих случаях используется шифрование по редкому алгоритму ECIES, основанному на эллиптических кривых. Также схожим является запрет на атаки стран БРИКС, что встречается нечасто в подобных программах.

Кроме того, активность пользователя, управлявшего InvaderX, прекратилась в ноябре 2024 года, а с января 2025 года он не появляется на форумах. В то же время superSonic зарегистрировался на одном из форумов примерно полгода назад, однако впервые проявил активность именно с объявлением о запуске Anubis.

Первые участники программы уже начали действовать: на момент исследования экспертов были опубликованы утечки данных по меньшей мере четырёх компаний из США, Австралии и Перу.

* Социальная сеть запрещена на территории Российской Федерации