Хакерская франшиза: DragonForce запускает криминальный DIY

Несмотря на усилия международных правоохранительных органов, направленные на разрушение крупных схем вымогательства, киберпреступники продолжают демонстрировать высокую адаптивность и живучесть. Специалисты Secureworks Counter Threat Unit (CTU) зафиксировали в 2025 году появление двух обновлённых моделей работы у группировок DragonForce и Anubis, каждая из которых по-своему пытается привлечь новых партнёров и повысить прибыльность операций.

Группировка DragonForce, изначально действовавшая по стандартной схеме Ransomware-as-a-Service (RaaS), в марте 2025 года объявила о трансформации в так называемый «картель» с распределённой моделью. Это означает, что теперь каждый партнёр может создать собственный «бренд» с доступом к готовой инфраструктуре — административным и клиентским панелям, системе хранения файлов, инструментам для шифрования и переговоров, а также сайту для публикации утечек в даркнете.

При этом DragonForce больше не требует от участников использования только своего вредоносного кода — они могут применять собственные инструменты, не теряя при этом доступ к инфраструктуре. Такая гибкость расширяет круг потенциальных партнёров: к схеме могут присоединяться и технически неподкованные участники, и более опытные, предпочитающие автономию. Однако общая инфраструктура может сыграть злую шутку — компрометация одного участника может раскрыть данные о других.

Альтернативный подход выбрала Anubis. Группировка начала продвигать своё предложение на теневых форумах в феврале 2025 года, делая ставку на гибкость в методах шантажа. В арсенале три направления: традиционное шифрование с получением 80% выкупа, «чистый» вымогательский подход без шифрования (60%) и монетизация уже полученного доступа к системам жертв (50%).

Особое внимание вызывает тактика давления в модели с утечкой данных. После компрометации информации Anubis публикует расследование деятельности жертвы на защищённом Tor-сайте и даёт ссылку на переговоры. Если компания отказывается платить, публикация переходит в открытый доступ. Кроме того, злоумышленники могут выкладывать имена жертв в соцсетях и угрожать уведомлением клиентов компании. В объявлении отдельно подчёркивается намерение сообщать о компрометациях в регулирующие органы. Такая практика редка, но уже имела место в ноябре 2023 года, когда ALPHV пожаловались в SEC на одну из жертв.

Третий вариант — «монетизация доступа» — помогает уже имеющим доступ злоумышленникам выжать максимум из ситуации, предоставляя детальный анализ конфиденциальной информации, который можно использовать как рычаг давления.

При этом Anubis сознательно ограничивает географию атак. Под запретом — страны постсоветского пространства, а также члены организации БРИКС. Также группа исключает атаки на государственные, образовательные и некоммерческие учреждения, но ни слова не говорится о здравоохранении — что делает медицинские организации потенциально привлекательными целями.

Обострение конкуренции среди вымогателей сопровождается попытками максимизировать прибыль новыми способами. При этом исследования указывают на снижение доли компаний, выплачивающих выкуп. Это подтверждается ростом количества записей о жертвах на сайтах с утечками — туда попадают те, кто отказался платить. В ответ киберпреступники активнее прибегают к давлению и меняют подходы, включая публичные кампании и шантаж через регуляторы.

Secureworks подчёркивает, что выплаты не гарантируют восстановления доступа к данным или избегания утечек. Вместо этого специалиытс рекомендуют организациям сосредоточиться на проактивных мерах: регулярно обновлять уязвимые системы, использовать стойкую к фишингу многофакторную аутентификацию, создавать и тестировать резервные копии, отслеживать активность в сети и на конечных точках, а также иметь план реагирования на инциденты.